Калифорнийская компания Palo Alto Networks, ведущий поставщик решений в области кибербезопасности, официально подтвердила факт несанкционированного доступа к данным через скомпрометированные экземпляры Salesforce. Инцидент, произошедший в середине августа 2025 года, стал результатом целенаправленной атаки на интеграцию Salesloft Drift, используемую для автоматизации взаимодействия с клиентами.
Согласно заявлению компании, злоумышленники воспользовались скомпрометированными учетными данными OAuth в приложении Drift от Salesloft в период с 8 по 18 августа. Это позволило им получить доступ к интегрированным с платформой экземплярам Salesforce, включая систему Palo Alto Networks, и извлечь конфиденциальную информацию. Компания оперативно отреагировала на угрозу: интеграция с поставщиком была немедленно отключена, а группа реагирования на инциденты Unit 42 приступила к детальному расследованию.
Расследование показало, что воздействие инцидента ограничилось исключительно платформой управления взаимоотношениями с клиентами (CRM). Продукты и сервисы Palo Alto Networks не пострадали и продолжают функционировать в штатном режиме. Основной объем утекших данных включает деловую контактную информацию, внутренние данные о продажах и базовые записи обращений. Компания подчеркивает, что лишь ограниченное число клиентов могли столкнуться с компрометацией более чувствительной информации; с этими клиентами ведется прямая работа через официальные каналы поддержки.
Аналитики Unit 42 связали данный инцидент с масштабной кампанией, использующей уязвимость интеграции Salesloft Drift. После извлечения данных из объектов Salesforce, таких как Account, Contact, Case и Opportunity, злоумышленники провели массовый сбор информации с последующим поиском учетных данных в похищенных данных. Для сокрытия следов атакующий удалил логи SOQL-запросов.
Со стороны Salesloft были предприняты собственные меры реагирования: все пострадавшие клиенты уведомлены, а токены доступа и обновления для приложения Drift отозваны, что потребовало повторной аутентификации от администраторов. Palo Alto Networks рекомендует другим организациям, использующим интеграцию Drift, сохранять повышенную бдительность и следить за обновлениями от Salesloft и Salesforce.
В числе ключевых рекомендаций - проведение всестороннего анализа журналов, включая историю входов в Salesforce, аудиторские trail-файлы, логи доступа через API и события UniqueQuery, начиная с 8 августа. Следует обращать внимание на подозрительные строки пользовательского агента, в частности «Python/3.11 aiohttp/3.12.15», и необычные IP-адреса, связанные с известными угрозами. Также критически важно обеспечить ротацию учетных данных, включая ключи API Salesforce и токены подключенных приложений, с использованием инструментов вроде Trufflehog или GitLeaks.
Дополнительные меры включают мониторинг сетевого трафика и прокси-логов на предмет аномальных подключений к Salesforce, а также анализ журналов провайдера идентификации для выявления несанкционированных попыток аутентификации. Для снижения рисков горизонтального перемещения в инфраструктуре рекомендуется применять принципы нулевого доверия, включая предоставление минимальных привилегий и использование условных политик доступа.
Palo Alto Networks также советует проявлять скептицизм в отношении непредусмотренных запросов и всегда проверять обращения о предоставлении чувствительных данных через официальные каналы. Компания и её подразделение Unit 42 продолжают мониторинг ситуации и готовы опубликовать обновления при появлении новой информации. Salesforce со своей стороны обеспечивает клиентов дополнительными инструкциями и ресурсами для противодействия угрозам.
