ב-Salesloft מודים: "התוקפים ישבו במשך חצי שנה בחשבון ה-Github שלנו"
חקירת המתקפה על מערכות Salesloft הובילה לגילוי מפתיע, כשהחברה חשפה כי התוקפים ניצלו את החשבון הפרוץ כדי לאסוף מידע ולהכין את תשתית התקיפה במשך חודשים ארוכים
תמונה: Dreamstime
קמפיין התקיפה על אפליקציית Drift מבית Salesloft ממשיך להסעיר את קהילת הסייבר. אחרי שורה של חברות שכבר אישרו כי נפגעו, כעת מתברר שהתוקפים הכינו את הקרקע במשך חודשים והחדירה הראשונה בוצעה כבר לפני כחצי שנה, אז הם הצליחו לקבל גישה לחשבון ה-GitHub של Salesloft.
לפי החקירה של חברת האבטחה Mandiant והודעת האישור של Salesloft, בין מרץ ליוני ניצלו התוקפים את הגישה כדי לבצע איסוף מודיעין (reconnaissance), ששימש אותם לקראת שלב התקיפה המרכזי בין 8 ל-18 באוגוסט. באותו שלב הם השתמשו באסימוני OAuth שנגנבו מאינטגרציית Drift כדי לייצא כמויות גדולות של מידע מסביבות Salesforce. עיקר המיקוד היה בשליפת מפתחות גישה לשירותי AWS, סיסמאות ואסימונים הקשורים ל-Snowflake – פלטפורמת דאטה בענן.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
בהצהרה שפרסמה Salesloft נכתב כי הפרצה לא נבעה מחולשה במערכת Drift. לדבריה, החדירה התבצעה באמצעות חשבון ה-GitHub של החברה באותם חודשים: "בין מרץ ליוני 2025 תוקף הצליח לגשת לחשבון ה-GitHub של Salesloft", נכתב בהצהרה, "בזכות הגישה הזו, הוא הצליח להוריד תכנים ממספר מאגרים (repositories), להוסיף משתמש אורח ולהקים תהליכי עבודה (workflows) מותאמים".
Salesloft טוענת שההתקפה כבר נבלמה, שהתוקפים סולקו מהמערכות, ושהממצאים אומתו על ידי Mandiant. עם זאת, החברה לא חשפה את היקף הנפגעים, ולפי הערכות קודמות ייתכן שמדובר בכ-700 ארגונים.
כזכור, בין החברות ראשונות שאישרו פגיעה נמנות Palo Alto Networks, Cloudflare ו-Zscaler. ברוב המקרים, האקרים הצליחו לגשת למידע רגיש שנשמר במערכות Salesforce, כולל פניות תמיכה, שמות לקוחות, כתובות דוא"ל ומספרי טלפון.
