SalesLoft cho biết vi phạm tài khoản GitHub vào tháng 3 cho phép tin tặc đánh cắp các mã thông báo xác thực mà sau đó được sử dụng trong một vụ hack hàng loạt nhắm vào một số khách hàng công nghệ lớn của mình.
Trích dẫn một cuộc điều tra của đơn vị phản ứng sự cố của Google, Salesloft cho biết trên trang vi phạm dữ liệu của mình rằng các tin tặc chưa được đặt tên là chưa được đặt tên là tài khoản GitHub của Salesloft và thực hiện các hoạt động trinh sát từ tháng 3 đến tháng 6, cho phép họ tải xuống nội dung từ nhiều kho lưu trữ, thêm một người dùng khách và thiết lập dòng chảy công việc.
Dòng thời gian đặt ra những câu hỏi mới về tư thế bảo mật của công ty, bao gồm lý do tại sao phải mất khoảng sáu tháng để phát hiện sự xâm nhập.
Salesloft nói rằng vụ việc hiện đang có.
Liên hệ với chúng tôi
Bạn có thêm thông tin về những vi phạm dữ liệu này không? Từ một thiết bị không làm việc, bạn có thể liên hệ với Lorenzo Franceschi-Bicchierai một cách an toàn trên tín hiệu theo số +1 917 257 1382 hoặc qua Telegram và Keybase @lorenzofb hoặc email. Bạn cũng có thể liên hệ với TechCrunch thông qua SecureDrop.
Sau khi các tin tặc đột nhập vào tài khoản GitHub của mình, công ty cho biết các tin tặc đã truy cập vào môi trường đám mây của Amazon Web Services của AI và nền tảng tiếp thị do Chatbot hỗ trợ, cho phép họ đánh cắp token OAuth cho khách hàng của Drift. OAuth là một tiêu chuẩn cho phép người dùng ủy quyền cho một ứng dụng hoặc dịch vụ kết nối với loại ứng dụng khác. Bằng cách dựa vào OAuth, Drift có thể tích hợp với các nền tảng như Salesforce và những người khác để tương tác với khách truy cập trang web.
Khi đánh cắp các mã thông báo này, các diễn viên đe dọa đã vi phạm một số khách hàng của Salesloft, như BugCrowd, Cloudflare, Google, ProofPoint, Palo Alto Networks và các khoản tiền bảo vệ, trong số những người khác, nhiều trong số đó vẫn chưa được biết.
Nhóm tình báo mối đe dọa của Google đã tiết lộ vi phạm chuỗi cung ứng vào cuối tháng 8, quy cho một nhóm hack mà họ gọi là UNC6395.
Sự kiện TechCrunch
San Francisco
|
27-29 tháng 10 năm 2025
Các ấn phẩm an ninh mạng Databreaches.net và Bleeping Computer trước đây đã báo cáo rằng các tin tặc đằng sau vi phạm là nhóm hack sinh sản được gọi là Shinyhunters. Các tin tặc được cho là đang cố gắng tống tiền nạn nhân bằng cách liên hệ với họ một cách riêng tư.
Bằng cách truy cập các mã thông báo SalesLoft, các tin tặc sau đó truy cập các phiên bản Salesforce, nơi chúng lấy trộm dữ liệu nhạy cảm có trong vé hỗ trợ. Mục tiêu chính của diễn viên là đánh cắp thông tin đăng nhập, đặc biệt tập trung vào thông tin nhạy cảm như khóa truy cập AWS, mật khẩu và mã thông báo truy cập liên quan đến Snowflake, ông Sales SalesLoft cho biết vào ngày 26 tháng 8.
Salesloft cho biết vào Chủ nhật rằng sự tích hợp của nó với Salesforce hiện đã được khôi phục.
