Zscaler en Palo Alto zijn de recentste slachtoffers van Salesloft Drift-aanvallen. Hackers konden data van klanten buitmaken uit het Salesforce-systeem van beide bedrijven
Hackers hebben klantendata gestolen uit de Salesforce-systemen van Zscaler. De gestolen data betreft namen, zakelijke mailadressen, jobtitels van medewerkers, telefoonnummers, locatie-informatie, informatie over productlicenties en notities gekoppeld aan ondersteuningstickets. Ook Palo Alto verspreidt een haast identieke boodschap.
Salesloft Drift
De aanvallers raakten binnen op het Salesforce-systeem via Salesloft Drift. Dat is integratie voor sales-automatisatie ontwikkeld voor Salesforce door een derde partij. Bij Salesloft Drift konden hackers zogenaamde OAuth-tokens buitmaken. Die misbruikten ze vervolgens om Salesforce-data van vermoedelijk honderden bedrijven te stelen.
Zscaler is het recentste slachtoffer dat naar voren komt, maar niet het enige. De zero trust-specialist vervoegt zo een lange lijst van gedupeerde Salesforce-klanten waartoe ook Palo Alto Networks, Cloudflare en Google behoren.
lees ook
Wat is Zscaler en hoe spreek je het uit?
Hackers konden vrijwel ongestoord hun gang gaan tussen 8 en 18 augustus. Het primaire doel van de aanvallers is om in de gestolen informatie andere gevoelige gegevens te vinden, zoals wachtwoorden voor cloudomgevingen.
Phishing
Zscaler en Palo Alto hebben intussen de toegang van Drift tot zijn Salesforce-data ingetrokken, ook al heeft Salesloft Drift zijn OAuth-tokens zelf ingetrokken en ververst. Ook andere API-tokens werden geroteerd. Het bedrijf onderzoekt de zaak verder en wenst wel te benadrukken dat met de diefstal geen bestanden, bijlagen en beelden werden geëxfiltreerd.
Voor klanten van de getroffen bedrijven ligt het grootste risico bij phishing. Gewapend met de gestolen informatie kunnen criminelen heel gericht contact opnemen, gebruikmakend van namen en functies van werknemers en zelfs details gerelateerd aan ondersteuningscases. Extra waakzaamheid is dus geboden.
Supply chain-aanval
Het hack is een goede illustratie van het gevaar van zogenaamde supply chain-aanvallen. Daarbij kraken hackers systemen via de zwakste link en dat kan een toeleverancier zijn. In dit geval hadden Salesforce langs de ene kant, en slachtoffers zoals Zscaler, Palo Alto en Google langs de andere kant, hun zaken wel op orde.
Een fout bij kleinere toeleverancier Salesloft Drift maakte de aanval toch mogelijk. In Europa besteedt de NIS2-regelgeving daarom veel aandacht aan dergelijke risico’s.
Dit artikel verscheen origineel op 3 september en kreeg een update met de recentste informatie.