详细内容或原文请订阅后点击阅览
一个被遗忘的 Salesforce 令牌 - 黑客同时暴露了十几家最大的公司
Huntress、Recorded Future、Tanium、Jamf - 受害者名单还在不断增加......
来源:安全实验室新闻频道一个被遗忘的 Salesforce 令牌 - 黑客同时暴露了十几家最大的公司
市场分析平台 Klue 已确认部分集成基础设施遭到黑客攻击。攻击者获取了 OAuth 令牌(用于在服务之间访问的数字密钥),并使用它们渗透了多个客户端的 Salesforce 会计环境。 Icarus 勒索软件组织声称对此次攻击负责,并要求通过 Session Messenger 进行联系,以防止被盗数据被公开。
6 月 12 日检测到可疑活动。调查显示,攻击者使用了与 Klue 集成服务相关的已泄露的旧凭据。 Access 允许用户获取 OAuth 令牌以连接到第三方平台(包括 Salesforce),然后检查和复制多个客户帐户中的数据。
Klue 表示,没有发现任何证据表明可以访问直接存储在平台上的信息。此次攻击仅影响第三方集成。该公司撤销了受损的凭据和令牌,删除了未经授权的代码,禁用了受影响的连接,启动了内部调查,并通知了执法部门。 CrowdStrike 专家也参与了事件的分析。
正在调查 Klue Battlecards 集成操作的网络安全专家注意到了大规模数据盗窃的最初迹象。攻击者使用窃取的 OAuth 凭据访问 Klue 客户的 Salesforce。然后,攻击者创建了新的访问令牌,并花费数小时通过 Python 脚本向 Salesforce API 发送请求,下载大量信息。
女猎人是受害者之一。她的 Salesforce 中的业务联系人、销售信函、定价信息和其他记录被盗。 Recorded Future*、Tanium、Jamf、Sprout Social、Gong 和 Insurity 随后报告了受影响的 Salesforce 会计环境。
* Recorded Future 在俄罗斯被视为不良组织。