HackerNews 编译,转载请注明出处:
Cloudflare成为近期一系列Salesloft Drift泄露事件的最新受影响公司,这些事件是上周披露的一起供应链攻击的一部分。
这家互联网巨头于周二透露,攻击者获得了其用于内部客户案例管理和客户支持的Salesforce实例的访问权限,该实例包含104个Cloudflare API令牌。
Cloudflare于8月23日收到漏洞通知,并于9月2日向受影响的客户通报了该事件。在将攻击事件告知客户之前,该公司还轮换了所有在泄露期间被窃取的104个由Cloudflare平台颁发的令牌,尽管尚未发现与这些令牌相关的任何可疑活动。
“这些信息大部分是客户联系信息和基本支持案例数据,但一些客户支持互动可能会透露客户配置信息,并可能包含访问令牌等敏感信息,”Cloudflare表示。
“鉴于Salesforce支持案例数据包含与Cloudflare的支持工单内容,客户可能通过我们的支持系统与Cloudflare共享的任何信息——包括日志、令牌或密码——都应视为已泄露,我们强烈建议您轮换可能通过此渠道与我们共享的任何凭据。”
公司的调查发现,在8月9日的初步侦察阶段之后,威胁行为者在8月12日至8月17日期间仅窃取了Salesforce案例对象中包含的文本(包括客户支持工单及其相关数据,但不包括附件)。
这些被窃取的案例对象仅包含基于文本的数据,包括:
- Salesforce案例的主题行
- 案例正文(如果客户向Cloudflare提供,可能包含密钥、机密信息等)
- 客户联系信息(例如,公司名称、请求者的电子邮件地址和电话号码、公司域名和公司所在国家)
“我们认为这起事件并非孤立事件,而是威胁行为者意图收集凭证和客户信息以供未来攻击之用,”Cloudflare补充道。
“鉴于此次Drift漏洞事件影响了数百家组织,我们怀疑威胁行为者将利用这些信息对受影响组织的客户发起针对性攻击。”
Salesforce数据泄露浪潮
今年以来,ShinyHunters勒索组织一直以 Salesforce 客户为目标进行数据窃取攻击,他们使用语音钓鱼(vishing)欺骗员工将恶意的 OAuth 应用程序与其公司的 Salesforce 实例关联起来。这种策略使攻击者能够窃取数据库,随后用于勒索受害者。
自谷歌在6月份首次报道这些攻击以来,多起数据泄露事件都与ShinyHunters的社会工程策略有关,包括针对谷歌自身、思科、澳洲航空(Qantas)、安联人寿(Allianz Life)、农夫保险(Farmers Insurance)、Workday、阿迪达斯(Adidas),以及路威酩轩(LVMH)子公司路易威登(Louis Vuitton)、迪奥(Dior)和蒂芙尼(Tiffany & Co.)的攻击。
尽管一些安全研究人员告诉BleepingComputer,Salesloft供应链攻击涉及相同的威胁行为者,但谷歌尚未找到确凿证据将它们联系起来。
其他受害企业
Palo Alto Networks也在周末确认,Salesloft Drift漏洞背后的威胁行为者窃取了一些客户提交的支持数据,包括联系信息和文本评论。
Palo Alto Networks的事件也仅限于其Salesforce CRM,正如该公司告诉BleepingComputer的那样,它没有影响任何其产品、系统或服务。
这家网络安全公司观察到攻击者搜索机密信息,包括AWS访问密钥(AKIA)、VPN和SSO登录字符串、Snowflake令牌,以及诸如“secret”、“password”或“key”之类的通用关键词,这些信息可能被用于入侵更多云平台以窃取数据,从而进行其他勒索攻击。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
