פרצת Drift פוגעת בלקוחות Salesforce: האקרים גנבו מפתחות AWS וסיסמאות
קמפיין תקיפה רחב היקף חשף אינטגרציות Salesforce דרך אפליקציית Salesloft Drift, תוך שימוש ב-OAuth Tokens גנובים כדי לשאוב מידע רגיש ומפתחות גישה לשירותי ענן
תמונה: pixabay
שוב לקוחות Salesforce הופכים ליעד של קמפיין גניבת נתונים, כשהפעם התוקפים ניצלו את אינטגרציית Drift עם Salesforce והפכו אותה לנקודת תורפה משמעותית. על פי דוח של Google Threat Intelligence Group בין 8 ל-18 באוגוסט 2025, קבוצת האקרים בשם UNC6395 השתמשה באסימוני OAuth שנפרצו כדי לגשת לסביבות Salesforce ארגוניות דרך האפליקציה Salesloft Drift.
התוקפים ניצלו את הגישה הזו כדי לשאוב כמויות גדולות של מידע רגיש – ובהן מפתחות AWS (AKIA), סיסמאות ואסימוני גישה לשירות Snowflake. מבדיקת GTIG עלה כי התוקפים הצליחו לגנוב ולהעתיק כמויות לא מבוטלות של מידע ממספר רב של ארגונים ובהם פרטי לקוחות, סודות מקצועיים ואישורי גישה.
לפי הדוח שפרסמה גוגל, מטרתה המרכזית של הקבוצה הייתה גניבת הרשאות ולאחר החדירה הם חיפשו את הסודות העסקיים ומפתחות גישה שעשויים לשמש לפרצות עתידיות למערכות שמחוברות לסיילספורס.
בגוגל אף ציינו כי ההאקרים הפגינו "מודעות גבוהה לאבטחה תפעולית" – הם מחקו משימות ושאילתות מהמערכת כדי להקשות על זיהוי הפעולות שלהם. עם זאת, הלוגים של המערכת לא הושפעו מהפעילות הזו. המשמעות לכך היא שכל ארגון שנפגע בתקיפה יכול לבדוק את היומנים ולזהות האם ואילו נתונים דלפו.
עד כה, ב-Salesloft ו-Salesforce השביתו את כל אסימוני הגישה הפעילים (Access Tokens ו-Refresh Tokens) ששימשו את Drift, בנוסף החברה הסירה את Drift לחלוטין מה-AppExchange עד לסיום החקירה וחברה חיצונית המתמחה בחקירה דיגיטלית נשכרה כדי ללוות את החקירה ולהבטיח שכל צעדי השחזור ננקטים.
גם סיילספורס וגם GTIG הדגישו: הליבה של המערכת לא נפרצה. מקור הבעיה הוא בפריצה של אסימוני גישה באפליקציית Drift, ולא בפלטפורמת Salesforce עצמה.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
מה צריך לעשות עכשיו?
גוגל ממליצה לכל ארגון שמשתמש ב-Salesloft Drift יחד עם Salesforce:
- להניח שהנתונים נחשפו ולפעול בהתאם.
- לבטל מפתחות API קיימים ולהפיק חדשים.
- לסובב סיסמאות ואסימוני גישה הקשורים ל-AWS, Snowflake וכל מערכת מחוברת אחרת.
- להקשיח הרשאות של אפליקציות מחוברות ולוודא שלכל אחת יש מינימום גישה נדרש בלבד.
- לאכוף מגבלות IP דרך מדיניות ה-App Settings של Salesforce.
- להסיר הרשאות API מיותרות ממשתמשים שלא זקוקים להן.
אינדיקטורים לפריצה (IOCs)
User Agent חשודים:
- Salesforce-Multi-Org-Fetcher/1.0
- python-requests/2.32.4
- Python/3.11 aiohttp/3.12.15
כתובות IP חשודות:
- 208.68.36.90 (DigitalOcean)
- 44.215.108.109 (AWS)
- 154.41.95.2 (Tor Exit)
- 185.220.101.143 (Tor Exit)
- 195.47.238.178 (Tor Exit)
הרשימה מלאה זמינה בדוחות GTIG ו-Salesloft.
המתקפה הזו מצטרפת לשורת מקרים דומים מהחודשים האחרונים, בהם Salesforce מוצאת את עצמה במוקד לא בגלל פרצות בפלטפורמה עצמה, אלא בשל פגיעות באינטגרציות צד שלישי. המסקנה ברורה: כל ארגון שמשתמש באפליקציות חיצוניות על גבי Salesforce חייב לוודא שמדיניות האבטחה שלו מותאמת לתרחישי שרשרת האספקה המורכבים יותר ויותר.
