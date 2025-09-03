Множество крупных компаний сообщают, что пострадали от хакерской атаки, связанной со взломом Salesloft Drift. Среди них: ИБ-компании Zscaler и Palo Alto Networks, SaaS-платформы Workiva, PagerDuty и Exclaimer, компания Cloudflare и многие другие.

Напомним, что на прошлой неделе стало известно, что хакеры скомпрометировали платформу автоматизации продаж Salesloft и похитили OAuth и refresh-токены клиентов из ее ИИ-агента Drift, предназначенного для интеграции с Salesforce (не имеет отношения к Salesloft).

Как после предупредили представители Google, атака была массовой и затронула, в том числе, данные Google Workspace.

Salesloft Drift представляет собой стороннюю платформу для интеграции ИИ-чат-бота Drift с инстансом Salesforce, позволяя организациям синхронизировать разговоры, лиды и обращения в поддержку со своей CRM. Для оптимизации процесса Drift также может интегрироваться с различными сервисами, включая Salesforce и другие платформы (Slack, Google Workspace и другие).

Атака длилась с 8 по 18 августа 2025 года. В результате взлома злоумышленники получили клиентские токены Drift, используемые для интеграции с Salesforce, а затем использовали их для кражи данных из Salesforce.

В итоге аналитики Google рекомендовали всем компаниям, использующим Drift, интегрированный с Salesforce, считать свои данные скомпрометированными.

Теперь представители компании Zscaler сообщили, что ее инстанс Salesforce подвергся взлому в рамках этой атаки на цепочку поставок, в результате чего была раскрыта информация о клиентах.

«В рамках этой кампании неавторизованные третьи лица получили доступ к учетным данным Salesloft Drift ее клиентов, включая Zscaler, — пишут в компании. — В рамках продолжающегося расследования мы провели детальный анализ и выяснили, что эти учетные данные позволили злоумышленникам получить ограниченный доступ к некоторым данным Salesforce компании Zscaler».

В руки хакеров попала следующая информация:

имена;

адреса электронной почты;

должности;

номера телефонов;

региональная информация;

данные о лицензировании продуктов Zscaler и коммерческая информация;

содержимое некоторых запросов в поддержку.

Компания подчеркивает, что утечка данных затронула только Salesforce, и никакие продукты, услуги и инфраструктура Zscaler не пострадали.

В Zscaler уверяют, что не обнаружили случаев неправомерного использования похищенной информации. Однако клиентам компании рекомендуется сохранять бдительность в отношении возможных фишинговых атак и социальной инженерии.

Еще одной жертвой этой атаки на цепочку поставок стала Palo Alto Networks. Специалисты заявляют, что компания стала одной из сотен жертв этой вредоносной кампании. В данном случае инцидент тоже ограничился CRM-системой Salesforce и не затронул какие-либо другие продукты, системы и сервисы.

«Palo Alto Networks подтверждает, что стала одним из сотен клиентов, пострадавших от масштабной атаки на цепочку поставок, нацеленной на Salesloft Drift, в результате которой были раскрыты данные Salesforce, — сообщают в Palo Alto Networks. — Мы быстро локализовали инцидент и отключили приложение в нашей среде Salesforce. Наше расследование подтверждает, что эта ситуация не повлияла на какие-либо продукты, системы или сервисы Palo Alto Networks».

Злоумышленники так же похитили контактную информацию и связанную с ней информацию об учетных записях, а также внутренние записи о продажах. Подчеркивается, что украденные данные, связанные с обращениями в службу технической поддержки, содержали только контактную информацию и текстовые комментарии, но не файлы или вложения.

Palo Alto Networks уже уведомляет о случившемся всех пострадавших клиентов.

Другой крупной жертвой компрометации Salesloft Drift стала компания Cloudflare. Представители интернет-гиганта сообщили, что злоумышленники получили доступ к инстансу Salesforce, который использовался для внутреннего управления обращениями и поддержки клиентов, а также содержал 104 токена API Cloudflare.

Специалисты Cloudflare узнали об атаке еще 23 августа, и ко 2 сентября оповестили всех пострадавших клиентов об инциденте. Перед тем как сообщить клиентам об атаке, компания аннулировала все 104 токена, похищенных во время взлома, хотя в настоящее время никакой подозрительной активности, связанной с ними, обнаружено не было.

«Большая часть [похищенной] информации представляет собой контактные данные клиентов и базовое содержимое обращений в службу поддержки. Однако некоторые взаимодействия со службой поддержки клиентов могли раскрывать информацию о конфигурации клиента и содержать конфиденциальную информацию, включая ​​токены доступа», — заявили в Cloudflare .

Таким образом, любая информация, которой клиент мог поделиться с Cloudflare через систему поддержки (включая логи, токены и пароли), должна считаться скомпрометированной. Пользователям настоятельно рекомендуется сменить любые учетные данные, которыми они могли делиться с компанией.

«Мы полагаем, что этот инцидент не был единичным случаем, а злоумышленники намеревались собрать учетные данные и информацию о клиентах для будущих атак, — предупреждают в Cloudflare. — Учитывая, что от компрометации Drift пострадали сотни организаций, мы подозреваем, что злоумышленники будут использовать полученную информацию для запуска целевых атак против клиентов пострадавших организаций».

Также о компрометации Salesforce, последовавшей за взломом Salesloft Drift, сообщили SaaS-платформы Workiva, PagerDuty и Exclaimer; ИБ-компании Tanium и SpyCloud и Astrix Security; облачная компания Cloudinary. Список пострадавших продолжает быстро пополняться.

Хотя специалисты Google возлагают ответственность за эти атаки на хак-группу под идентификатором UNC6395, представители группировки ShinyHunters заявили изданию Bleeping Computer, что это они стоят за атакой.

За последние месяцы от похожих утечек данных, связанных с Salesforce и активностью ShinyHunters, пострадали: Adidas, авиакомпания Qantas, страховая компания Allianz Life, ряд брендов LVMH (Louis Vuitton, Dior и Tiffany & Co), сайт Cisco.com, а также модный дом Chanel и датская ювелирная компания Pandora.