Компания Zscaler, специализирующаяся на кибербезопасности, сообщила об инциденте, связанном с утечкой контактной информации клиентов. Произошло это после того, как злоумышленники получили несанкционированный доступ к базе данных Salesforce через скомпрометированные учётные данные приложения от третьей стороны. Расследование показало, что атака является частью более широкой кампании, направленной на платформу маркетинговой автоматизации Salesloft Drift, которая интегрируется с Salesforce для управления потенциальными клиентами и взаимоотношениями с ними.
Злоумышленникам удалось похитить OAuth-токены Salesloft Drift, что предоставило им возможность несанкционированного доступа к связанным экземплярам Salesforce в различных организациях, включая Zscaler. Подчёркивается, что инцидент был ограничен средой Salesforce и не затронул основные продукты, услуги или инфраструктурные системы Zscaler, которые обеспечивают защиту тысяч корпоративных клиентов по всему миру.
Согласно данным расследования, несанкционированный доступ был ограничен деловой контактной информацией и содержимым, специфичным для Salesforce. Скомпрометированные данные включали имена клиентов, рабочие адреса электронной почты, должности, номера телефонов, сведения о региональном расположении, а также информацию о лицензировании продуктов Zscaler. Кроме того, был получен доступ к содержимому в открытом тексте из некоторых обращений в службу поддержки, однако вложения, файлы и изображения остались в безопасности.
Zscaler заявила, что в ходе тщательного расследования не было обнаружено свидетельств misuse (неправомерного использования) данных после утечки. Тем не менее, компания признала, что раскрытая контактная информация потенциально может быть использована для фишинговых атак или попыток социальной инженерии в отношении пострадавших клиентов.
Компания немедленно отреагировала на инцидент, приняв ряд защитных мер для его сдерживания и предотвращения подобных случаев в будущем. Было отозвано разрешение на доступ Salesloft Drift к среде Salesforce Zscaler, а также произведена смена других API-токенов в качестве превентивной меры. Совместно с Salesforce была запущена всесторонняя проверка для оценки полных масштабов произошедшего с одновременным внедрением дополнительных средств защиты и усилением протоколов безопасности.
Кроме того, Zscaler инициировала проверку управления рисками третьих сторон для всех отношений с поставщиками и усилила процедуры аутентификации клиентов при взаимодействии со службой поддержки. Этот инцидент подчёркивает растущие риски, связанные с интеграциями сторонних разработчиков в корпоративных средах. Компрометация Salesloft Drift затронула множество клиентов Salesforce помимо Zscaler, продемонстрировав, как атаки на цепочки поставок могут распространяться на несколько организаций через общих сервис-провайдеров.
Zscaler рекомендовала клиентам сохранять бдительность в отношении потенциальных фишинговых попыток, которые могут использовать раскрытую контактную информацию. Компания подчеркнула, что законные сотрудники службы поддержки никогда не запрашивают учётные данные для аутентификации через неподтверждённые каналы связи, и призвала клиентов проверять источник любых неожиданных запросов. Клиенты, столкнувшиеся с подозрительной активностью или нуждающиеся в дополнительной поддержке, могут обратиться в Zscaler через официальные каналы на help.zscaler.com. Компания обязалась предоставлять постоянные обновления по мере прогресса расследования и появления новых данных.
