Le géant du CRM Salesforce confirme avoir été la cible d’une violation de données qui a eu des répercussions chez de nombreux clients, dont Google, Allianz, Cisco, Cloudflare, Palo Alto Networks ou encore Zcaler.
La liste des entreprises victimes s’allonge de jour en jour. Le Google Threat Intelligence Group (GTIG) l’établit à plus de 700 à ce jour.
Cette semaine, Palo Alto Networks et Zscaler viennent de confirmer faire partie des victimes de la campagne de piratage.
Il s’avère que ces attaques ont un point commun : les cyberattaquants ont volé des jetons d’authentification (OAuth) permettant d’intégrer l’application Drift dans la base de données de Salesforce. Salesloft Drift est un agent IA tierce utilisé pour automatiser les processus de vente. Le chatbot s’intègre aux bases de données Salesforce pour gérer les prospects à la place d’humains. La compromission de ces jetons OAuth a permis aux voleurs de dérober en toute discrétion une grande quantité de données clients Salesforce.
Les pirates à l’œuvre revendiquent l’attaque : le collectif ShinyHunters (ou UNC6040) et son allié Scattered Spider.
Zscaler conseille à ses clients de révoquer l’accès de Salesloft Drift aux données Salesforce et de faire tourner les autres jetons d’accès API. Cette recommandation fait suite à des conseils similaires donnés par Google et par Palo Alto Networks à leurs clients. Palo Alto Networks suggère également à ses clients de vérifier les historiques de connexions et les journaux d’accès API d’août dernier pour détecter tout signe de connexion suspecte, de vol d’identifiants ou d’exfiltration de données. Pendant ce temps, Salesforce dit avoir désactivé toutes ses intégrations avec l’agent IA de Salesloft depuis le 28 août. Pour autant, Marc Benioff, le patron de Salesforce, se félicitait encore hier de pouvoir supprimer 4.000 postes dans son entreprise grâce à l’IA.