Salesloft стверджує, що крадіжка даних клієнтів Drift пов'язана з березневим злом облікового запису GitHub

Компанія Salesloft повідомила, що злам її облікового запису на GitHub у березні дозволив хакерам вкрасти токени автентифікації, які потім були використані в масовій атаці на кілька великих технологічних компаній-клієнтів.

За даними розслідування підрозділу реагування на інциденти Google Mandiant, Salesloft зазначила на своїй сторінці інформації про витік даних, що невідомі хакери отримали доступ до облікового запису на GitHub і проводили розвідувальні дії з березня до червня, що дало їм змогу завантажити “контент з кількох репозиторіїв, додати гостя і створити робочі процеси”.

Цей хронологічний виклад викликає нові запитання щодо рівня безпеки компанії, зокрема, чому Salesloft знадобилося близько шести місяців для виявлення вторгнення.

Salesloft заявила, що інцидент на даний момент “під контролем”.

Зв’яжіться з нами

Якщо у вас є додаткова інформація про ці витоки даних, ви можете безпечно зв’язатися з Лоренцо Франческі-Бікері на Signal за номером +1 917 257 1382, через Telegram та Keybase @lorenzofb або електронною поштою.

Після зламу облікового запису на GitHub, компанія повідомила, що хакери отримали доступ до хмарного середовища Amazon Web Services платформи маркетингу Drift, яка використовує штучний інтелект і чат-боти, що дозволило їм вкрасти OAuth токени її клієнтів. OAuth є стандартом, що дозволяє користувачам авторизувати один додаток або сервіс для підключення до іншого. Завдяки OAuth, Drift може інтегруватися з такими платформами, як Salesforce, для взаємодії з відвідувачами веб-сайту.

Вкрадені токени дозволили хакерам отримати доступ до кількох клієнтів Salesloft, таких як Bugcrowd, Cloudflare, Google, Proofpoint, Palo Alto Networks та Tenable, серед інших, багато з яких, швидше за все, ще не відомі.

Група загроз Google розкрила витік в ланцюгу постачання наприкінці серпня, приписавши його хакерській групі, яку вони називають UNC6395.

Подія Techcrunch

Сан-Франциско
|
27-29 жовтня 2025 року

Ресурси з кібербезпеки DataBreaches.net та Bleeping Computer раніше повідомляли, що хакери, причетні до витоку, є активною хакерською групою ShinyHunters. Вважається, що вони намагаються шантажувати жертв, приватно звертаючись до них.

Отримавши доступ до токенів Salesloft, хакери змогли увійти в екземпляри Salesforce, розкрадаючи чутливі дані, що містилися в запитах на підтримку. “Основною метою дійової особи було вкрасти облікові дані, зокрема, акцентуючи увагу на чутливій інформації, такій як ключі доступу AWS, паролі та токени доступу, пов’язані з Snowflake”, – зазначили у Salesloft 26 серпня.

Salesloft оголосила в неділю, що її інтеграція з Salesforce відновлена.