Salesforce laat klanten weten geen losgeld te betalen aan hackers die dreigen met het openbaar maken van gestolen klantgegevens. De hack zou verband houden met een beveiligingsincident bij de derde partij SalesLoft, specifiek diens Drift-app, die met Salesforce is geïntegreerd voor geautomatiseerde klantcommunicatie.
Volgens een interne melding, ingezien door Bloomberg, beschikt Salesforce over betrouwbare aanwijzingen dat de hackersgroep ShinyHunters van plan is gestolen informatie te delen op online fora. Het bedrijf benadrukt dat het niet zal onderhandelen of voldoen aan enige vorm van afpersing. Salesforce zegt in contact te staan met getroffen klanten. Het bedrijf biedt hen ondersteuning.
De gegevensdiefstal vond eerder dit jaar plaats via de Drift-app van SalesLoft, niet via kwetsbaarheden in Salesforce zelf. De gestolen informatie bestaat voornamelijk uit klantcontactgegevens en basisinformatie over IT-ondersteuning. In sommige gevallen bevatte de buit ook toegangstokens en details over IT-configuraties van klanten.
De oorzaak van de reeks datalekken blijkt te liggen bij een fout bij SalesLoft. Van maart tot en met juni hadden aanvallers toegang tot het GitHub-account van het bedrijf. Daarbij werden tokens buitgemaakt die de Drift-app koppelden aan Salesforce-omgevingen. Vanuit dat startpunt wist de aanvaller door te dringen tot de AWS-omgeving van Drift en OAuth-tokens van klantbedrijven te bemachtigen.
Honderden organisaties getroffen
Die tokens gaven toegang tot gegevens bij honderden organisaties, waaronder Cloudflare, Zscaler, Palo Alto Networks, CyberArk, Rubrik, Nutanix, Ericsson en JFrog. De impact verschilde per bedrijf: bij de een ging het om CRM-velden, bij de ander om supportcases of beperkte integratiegegevens.
Onderzoekers van Google Threat Intelligence Group waarschuwden in augustus al voor een grootschalige campagne die Salesforce-klanten trof via de Drift-app, waarbij aanvallers uit waren op inloggegevens, wachtwoorden en tokens voor database-toegang.
SalesLoft riep gebruikers medio augustus op om hun toegangstokens te vernieuwen om verdere inbreuken te voorkomen. Het bedrijf heeft nog niet publiek gereageerd op het incident.
Een woordvoerder van Salesforce verklaarde dat de integraties met SalesLoft-technologie opnieuw zijn geactiveerd, met uitzondering van de Drift-app, die voorlopig uitgeschakeld blijft. Het is niet bekend hoeveel klanten door het datalek zijn getroffen.