Łańcuch ataków: wyciek danych przez Salesloft

Przełomowe włamanie przez GitHub i jego konsekwencje

Na początku tego roku zespół bezpieczeństwa firmy Salesloft poinformował o naruszeniu w repozytorium GitHub – platformie zarządzania kodem, szeroko używanej w branży IT. To pozornie techniczne zajście stało się początkiem łańcucha ataków, których finałem była kradzież danych klientów Salesforce. Cyberprzestępcy uzyskali dostęp do fragmentów kodu oraz skonfigurowali „guest” konta i automatyczne procesy, torując sobie drogę do kolejnych środowisk integracyjnych. Szczególnie niebezpieczne okazały się wykradzione tokeny autoryzacyjne OAuth, bo to one pozwoliły na dalszy atak i uzyskanie dostępu do zasobów klientów korzystających z rozwiązań CRM. Śledztwo prowadzone przez zewnętrznych ekspertów (w przypadku Salesloft zaangażowana była firma Mandiant – źródło) potwierdziło, że włamywacze przez ponad kwartał prowadzili działania wywiadowcze w środowiskach chmurowych firmy.

Kto stoi za operacją i kogo dotknęły skutki?

Za opisywaną kampanią stoją przestępcy powiązani z dobrze rozpoznawalnymi grupami: ShinyHunters oraz Scattered Spider. Kulminacją monitorowanych działań był zmasowany atak na klientów Salesloft z wykorzystaniem przejętych tokenów OAuth. Na liście firm, które potwierdziły wycieki danych, znalazły się m.in. Google, Zscaler, Cloudflare i Workiva (źródło). W atakach skupiano się głównie na pobieraniu informacji z tzw. „support cases” (zgłoszeń wsparcia) przechowywanych w systemie CRM Salesforce. Analiza dowiodła, że priorytetem napastników było zdobycie poufnych danych umożliwiających dalsze ataki – w tym kluczy AWS, haseł i tokenów dostępowych do rozwiązań chmurowych, np. platformy Snowflake (źródło).

Kluczowa rola integracji i słabe punkty ekosystemów SaaS

Współczesne zaawansowane CRM-y, takie jak Salesforce, opierają swój ekosystem na integracjach, często zbudowanych przez zewnętrznych dostawców i korzystających z autoryzacji OAuth. Incydent z udziałem Salesloft i platformy Drift pokazuje, jak czuły jest cały łańcuch zaufania w środowiskach SaaS (Software as a Service). Przestępcy, kompromitując tylko jedno narzędzie pośredniczące, byli w stanie automatycznie atakować powiązane z nim platformy. Eksperci bezpieczeństwa zalecają jak najbardziej restrykcyjne podejście do zarządzania uprawnieniami API oraz regularne audyty tego typu integracji (źródło). Z punktu widzenia zarządzania ryzykiem, firmy powinny traktować wszystkie aplikacje łączone z CRM – zwłaszcza wspierane przez AI narzędzia automatyzacji – jako potencjalny wektor ataku.

Jakie kroki podjęto po incydencie i czego nauczyła się branża?

Po wykryciu włamania, Salesloft zadziałał wielotorowo: natychmiast zrotowano wszystkie kluczowe dane dostępowe, odcięto infrastrukturę pośrednika Drift i przeprowadzono pogłębione wyszukiwanie potencjalnych śladów obecności napastników („threat hunting”). Firma na bieżąco informowała klientów o zaistniałej sytuacji i, po potwierdzeniu neutralizacji zagrożenia, przywróciła pełny zakres integracji z Salesforce (źródło). Kryzys wyraźnie pokazał, że model zero trust (brak domyślnego zaufania dla wewnętrznych i zewnętrznych komponentów) staje się standardem także w środowiskach chmurowych. Przypadek ten zmotywował wielu dostawców SaaS oraz działy bezpieczeństwa IT do pogłębionej weryfikacji procesów zarządzania uprawnieniami i rotacji kluczy integracyjnych.

Konsekwencje i wnioski dla użytkowników platform CRM

Atak na Salesloft i pośrednio Salesforce unaocznił, jak złożony jest ekosystem CRM i jak łatwo zagrożenia rozprzestrzeniają się przez łańcuch dostaw. Firmy, które inwestują w rozwój AI i automatyzację (czyli coraz więcej polskich i europejskich przedsiębiorstw), muszą uwzględniać bezpieczeństwo API oraz zarządzać uprawnieniami nie tylko we własnych zasobach, ale i w aplikacjach partnerskich. Czy wyciągnięte wnioski doprowadzą do przełomowych zmian w cyberhigienie dostawców SaaS, czy może kolejne ataki ujawnią jeszcze nieodkryte słabości tego środowiska? Tego dowiemy się zapewne w najbliższych miesiącach.