Компания Qualys подтвердила, что стала одной из целей недавней кибератаки, направленной на платформы Salesloft и Drift - сторонние SaaS-сервисы, интегрирующиеся с Salesforce. Представители компании подчеркнули, что данные клиентов и производственные среды в Qualys Cloud Platform остались в полной безопасности, а работоспособность сервисов не пострадала.
Инцидент является частью более масштабной кампании цепочки поставок, затронувшей нескольких клиентов Salesloft. Злоумышленники использовали украденные OAuth-токены, связанные с инструментом автоматизации продаж и маркетинга Drift, чтобы получить ограниченный доступ к информации в Salesforce. Хотя нарушение коснулось некоторых данных Qualys в Salesforce, компания уточнила, что её облачная инфраструктура, агенты, сканеры и основная кодовая база не были затронуты.
Согласно сообщению Qualys, атака была сфокусирована на хищении OAuth-токенов - распространённого механизма аутентификации, используемого облачными платформами для управления рабочими процессами. Похищенные учётные данные позволили несанкционированным сторонам получить ограниченный доступ к записям Salesforce через интеграцию с Drift. Salesloft и Drift часто используются совместно для улучшения управления воронками продаж, что делает их ценными целями в корпоративных экосистемах.
Несмотря на утечку данных из Salesforce, объём раскрытой информации был ограниченным, и производственные среды не пострадали. Qualys подчеркнула, что её ключевые сервисы, поддерживающие тысячи организаций по всему миру, функционировали без перебоев.
Сразу после обнаружения атаки Qualys активировала процедуры реагирования на инциденты. Компания отключила все интеграции с Drift в своей среде Salesforce, чтобы предотвратить дальнейший несанкционированный доступ. Также было запущено внутреннее расследование при участии специалистов Salesforce и привлечены внешние эксперты по кибербезопасности из Mandiant.
В качестве дополнительной меры Qualys намерена усилить мониторинг и ужесточить контроль безопасности вокруг интеграций со сторонними сервисами. Компания заявила, что открытость является основополагающим принципом её работы, и клиенты будут оперативно уведомлены о любых значимых изменениях в ситуации.
«Хотя этот инцидент демонстрирует растущую угрозу для взаимосвязанных облачных решений, платформы Qualys никогда не находились под угрозой», - говорится в заявлении компании. - «Мы по-прежнему стремимся обеспечивать максимальную защиту и продолжать повышать устойчивость к развивающимся угрозам».
Данный случай демонстрирует растущую проблему безопасности цепочек поставок в ИТ-отрасли: сложность защиты сторонних SaaS-приложений и интеграций, которые часто становятся скрытыми точками входа в корпоративные системы. Несмотря на то, что Qualys удалось избежать нарушения работы, кампания, нацеленная на Salesforce через Salesloft и Drift, показывает, почему злоумышленники всё чаще атакуют экосистемы доверенных поставщиков вместо прямого взлома основных платформ.
Эксперты отмечают, что такие атаки требуют пересмотра подходов к управлению доступом и контроля токенов аутентификации в распределённых cloud-средах. Компаниям рекомендуется регулярно аудировать права доступа интеграций и использовать многофакторную аутентификацию для минимизации рисков.
