Salesloft mengatakan pelanggaran akun GitHub pada bulan Maret memungkinkan peretas untuk mencuri token otentikasi yang kemudian digunakan dalam massal-hack yang menargetkan beberapa pelanggan teknologi besarnya.
Mengutip Investigasi oleh Unit Respons Insiden Google Mandiant, kata Salesloft halaman pelanggaran datanya bahwa peretas yang belum disebutkan namanya mengakses akun Github Salesloft dan melakukan kegiatan pengintaian dari Maret hingga Juni, yang memungkinkan mereka untuk mengunduh “konten dari beberapa repositori, menambahkan pengguna tamu dan membangun alur kerja.”
Garis waktu menimbulkan pertanyaan baru tentang postur keamanan perusahaan, termasuk mengapa butuh Salesloft sekitar enam bulan untuk mendeteksi intrusi.
Salesloft mengatakan bahwa insiden itu sekarang “terkandung.”
Hubungi kami
Apakah Anda memiliki informasi lebih lanjut tentang pelanggaran data ini? Dari perangkat non-kerja, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman pada sinyal di +1 917 257 1382, atau melalui telegram dan keybase @lorenzofb, atau email. Anda juga dapat menghubungi TechCrunch melalui SecuredRop.
Setelah peretas masuk ke akun Github-nya, perusahaan mengatakan para peretas mengakses lingkungan cloud Layanan Web Amazon AI Salesloft dan platform pemasaran bertenaga chatbot, Drift, yang memungkinkan mereka untuk mencuri token OAuth untuk pelanggan Drift. OAuth adalah standar yang memungkinkan pengguna untuk mengotorisasi satu aplikasi atau layanan untuk terhubung ke yang lain. Dengan mengandalkan OAuth, Drift dapat berintegrasi dengan platform seperti Salesforce dan lainnya untuk berinteraksi dengan pengunjung situs web.
Dalam mencuri token ini, para aktor ancaman melanggar beberapa pelanggan Salesloft, seperti BugCrowd, Cloudflare, Google, Proofpoint, Palo Alto Networks, dan Tenable, antara lainbanyak di antaranya kemungkinan masih belum diketahui.
Grup Intelijen Ancaman Google mengungkapkan pelanggaran rantai pasokan Akhir Agustus, menghubungkannya dengan grup peretasan yang disebut UNC6395.
Acara TechCrunch
San Francisco
|
27-29 Oktober 2025
Publikasi Cybersecurity Databreaches.net Dan Komputer bleeping Sebelumnya melaporkan bahwa peretas di balik pelanggaran adalah kelompok peretasan yang produktif yang dikenal sebagai shinyhunters. Para peretas diyakini berusaha memeras korban dengan menghubungi mereka secara pribadi.
Dengan mengakses Token Salesloft, para peretas kemudian mengakses instance Salesforce, di mana mereka mencuri data sensitif yang terkandung dalam tiket dukungan. “Tujuan utama aktor ini adalah untuk mencuri kredensial, secara khusus berfokus pada informasi sensitif seperti kunci akses AWS, kata sandi, dan token akses terkait kepingan salju,” Salesloft dikatakan pada 26 Agustus.
Salesloft dikatakan Pada hari Minggu bahwa integrasinya dengan Salesforce sekarang dipulihkan.
