Cloudflare es la última compañía impactada en una reciente cadena de violaciones de deriva de SalesLoft, parte de un ataque de cadena de suministro revelado la semana pasada.
El gigante de Internet reveló el martes que los atacantes obtuvieron acceso a una instancia de Salesforce que utiliza para la gestión interna de casos del cliente y la atención al cliente, que contenía 104 tokens API de Cloudflare.
Cloudflare fue notificado de la violación el 23 de agosto, y alertó a los clientes impactados del incidente el 2 de septiembre. Antes de informar a los clientes sobre el ataque, también giró los 104 tokens emitidos por plataformas de Cloudflare exfiltrados durante la violación, aunque aún no ha descubierto cualquier actividad sospechosa vinculada a estos tokens.
«La mayor parte de esta información es la información de contacto del cliente y los datos básicos de los casos de soporte, pero algunas interacciones de atención al cliente pueden revelar información sobre la configuración de un cliente y podrían contener información confidencial como tokens de acceso». Dijo Cloudflare.
«Dado que los datos del caso de soporte de Salesforce contienen el contenido de los boletos de soporte con CloudFlare, cualquier información que un cliente pueda haber compartido con CloudFlare en nuestro sistema de soporte, incluidos registros, tokens o contraseñas, debe considerarse comprometida, y le instamos encarecidamente a que gire cualquier credencial que pueda haber compartido con nosotros a través de este canal».
La investigación de la Compañía encontró que los actores de amenaza robaron solo el texto contenido dentro de los objetos del caso de Salesforce (incluidos los boletos de atención al cliente y sus datos asociados, pero sin archivos adjuntos) entre el 12 y el 17 de agosto, después de una etapa de reconocimiento inicial el 9 de agosto.
Estos objetos de casos exfiltrados contenían solo datos basados en texto, que incluyen:
- La línea de asunto del caso Salesforce
- El cuerpo del caso (que puede incluir claves, secretos, etc., si el cliente lo proporciona a Cloudflare)
- Información de contacto del cliente (por ejemplo, nombre de la empresa, dirección de correo electrónico del solicitante y número de teléfono, nombre de dominio de la empresa y país de la empresa)
«Creemos que este incidente no fue un evento aislado, sino que el actor de amenaza tenía la intención de cosechar credenciales e información del cliente para futuros ataques», agregó Cloudflare.
«Dado que cientos de organizaciones se vieron afectadas a través de este compromiso de deriva, sospechamos que el actor de amenaza utilizará esta información para lanzar ataques específicos contra los clientes en las organizaciones afectadas».
Ola de violaciones de datos de Salesforce
Desde el comienzo del año, el grupo de extorsión Shinyhunters ha sido Dirigirse a los clientes de Salesforce En los ataques de robo de datos, el uso de Voice Phishing (Vishing) para engañar a los empleados para que vinculen las aplicaciones de OAuth maliciosas con las instancias de Salesforce de su empresa. Esta táctica permitió a los atacantes robar bases de datos, que luego se usaron para extorsionar a las víctimas.
Desde Google escribió por primera vez sobre estos ataques En junio, se han vinculado numerosas violaciones de datos a las tácticas de ingeniería social de Shinyhunters, incluidas los que se dirigen a Google en sí, Cisco, Qantas, Allianz Life, Seguro de agricultores, Jornada laboral, Adidasasí como subsidiarias LVMH Louis Vuitton, Diory Tiffany & Co.
Mientras que algunos investigadores de seguridad le han dicho a BleepingComputer que los ataques de la cadena de suministro de SalesLoft involucran a los mismos actores de amenaza, Google no ha encontrado evidencia concluyente que los vincule.
Palo Alto Networks también confirmado durante el fin de semana Que los actores de amenaza detrás de las violaciones de la deriva de SalesLoft robaron algunos datos de soporte enviados por los clientes, incluida la información de contacto y los comentarios de texto.
El incidente de Palo Alto Networks también se limitó a su Salesforce CRM y, como la compañía dijo a BleepingComuter, no afectó a ninguno de sus productos, sistemas o servicios.
La compañía de ciberseguridad observó a los atacantes que buscaban secretos, incluidas las claves de acceso de AWS (AKIA), las cadenas de inicio de sesión de VPN y SSO, los tokens de copo de nieve, así como las palabras clave genéricas como «secreto», «contraseña» o «clave», que podrían usarse para incumplir más plataformas de nubes para robar datos en otros ataques de extorsión.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
