2 września Palo Alto Networks poinformowało o incydencie bezpieczeństwa: atakujący, korzystając z wykradzionych tokenów OAuth (pochodzących z kompromitacji aplikacji Salesloft Drift), uzyskali dostęp do instancji Salesforce firmy. W wyniku wycieku skradzione zostały dane kontaktowe klientów i treść zgłoszeń do pomocy technicznej – choć, na szczęście, bez plików czy załączników. Nie tylko wzmocniło to skalę ataku, ale także uwidoczniło lukę w łańcuchu dostaw (supply chain) w środowisku SaaS.
Skala ataku. Od kontaktów po wyciek w sprawach wsparcia
Atak objął setki klientów korzystających z Drift jako aplikacji trzeciej w Salesforce. Ujawniono nie tylko dane kontaktowe i konta sprzedażowe, ale także treść notatek w zgłoszeniach serwisowych (support cases) – jednak bez żadnych załączników czy plików binarnych.
Palo Alto Networks potwierdziło, iż incydent był ograniczony do CRM; żadne jego usługi, produkty czy infrastruktura nie zostały naruszone. Firma podkreśliła, iż powiadamia klientów, których dane mogły być bardziej wrażliwe.
Szczegóły techniczne operacji
Zespół Unit 42 (Palo Alto) odnotował masowe wykradanie danych z obiektów Salesforce, takich jak Account, Contact, Case i Opportunity. W treści eksfiltracji poszukiwano kluczy uwierzytelniających (AWS AKIA), tokenów Snowflake, danych VPN/SSO oraz słów-kluczy: „password”, „secret”, „key”. Wykorzystano zautomatyzowane narzędzia napisane w Pythonie – wskazywały na to nagłówki user-agent:
python-requests/2.32.4 Python/3.11 aiohttp/3.12.15 Salesforce-Multi-Org-Fetcher/1.0 Salesforce-CLI/1.0W celu utrudnienia wykrycia atakujący usuwali zapytania (jobs) z logów – typowa technika anti-forensic – oraz korzystali z sieci Tor w celu zamaskowania swojego pochodzenia.
Reakcja Palo Alto Networks i praktyki zaradcze
Firma gwałtownie odłączyła Salesloft Drift od swojego środowiska Salesforce i wszczęła dochodzenie, prowadzone przez Unit 42.
Wdrożono następujące działania zabezpieczające:
- Odwołanie i rotacja tokenów OAuth, API, połączeń z aplikacjami trzecimi.
- Analiza logów i audyt: przegląd logów CRM, identyfikacja nieautoryzowanych zapytań, analiza SOQL.
- Powiadomienia klientów, również tych, których przypadki wsparcia mogły zawierać bardziej wrażliwe notatki.
Implikacje techniczne
Atak ten unaocznia jeszcze jeden aspekt ryzyka: notatki w zgłoszeniach supportowych mogą zawierać dane wrażliwe, zatem muszą być adekwatnie zabezpieczone. Klienci, którzy wpisali np. hasła, tokeny czy inne dane w tekstowych polach przypadków CRM, mogli się nieświadomie wystawić na ryzyko. Pokazuje to, iż audyt systemów SaaS i aplikacji trzecich musi obejmować także mniej oczywiste elementy, jak notatki wsparcia, a polityki zabezpieczeń powinny uwzględniać wycieki poprzez tak zwane side channels.
Podsumowanie
Ten incydent – skoncentrowany na Salesforce, ale pośrednio pogłębiony przez atak na Salesloft Drift – ujawnił skalę ryzyka związaną z aplikacjami trzecimi, tokenami OAuth i danymi przechowywanymi w CRM. Technicznie zaawansowana operacja, wykorzystująca automatyzację i techniki ukrywania, została gwałtownie powstrzymana dzięki procedurom Unit 42, natychmiastowej reakcji i audytowi. Jednak z perspektywy bezpieczeństwa warto wyciągnąć wnioski: audyt integracji, usuwanie nieużywanych aplikacji, wyeliminowanie wrażliwych danych tekstowych w zgłoszeniach i skonfigurowanie mechanizmów monitoringu to dzisiaj absolutna konieczność.