Image by ajay_suresh, from Wikimedia Commons
Google Avvisa le Organizzazioni del Furto di Dati da Salesforce
Tempo di lettura: 3 Min.
Ultimo aggiornamento: Aug 28, 2025
-
![Kiara Fabbri]()
-
![Il team di localizzazione e traduzione]()
Tradotto da Il team di localizzazione e traduzione Servizi di localizzazione e traduzione
Le organizzazioni che utilizzano Salesforce potrebbero aver subito il furto di dati sensibili dopo che i pirati informatici hanno violato Salesloft, la piattaforma di automazione delle vendite dietro l’integrazione della chat Drift AI.
Hai fretta? Ecco i fatti essenziali:
- Hacker hanno rubato dati Salesforce tramite i token OAuth e di aggiornamento di Salesloft Drift.
- I dati rubati includevano chiavi AWS, password e token di accesso a Snowflake.
- Salesforce e Salesloft hanno revocato i token e rimosso temporaneamente l’app Drift.
Il Gruppo di Intelligence sulle Minacce di Google (GTIG), insieme a Salesloft, ha segnalato che l’attacco è avvenuto tra l’8 e il 18 agosto 2025. Gli aggressori, identificati come UNC6395, hanno eseguito l’intrusione utilizzando token OAuth e di aggiornamento rubati dall’applicazione Drift, penetrando in varie piattaforme Salesforce.
“Le prime scoperte hanno dimostrato che l’obiettivo principale dell’attore era rubare le credenziali, concentrandosi in particolare su informazioni sensibili come le chiavi di accesso AWS, le password e i token di accesso relativi a Snowflake”, ha afferma un avviso di Salesloft.
Gli aggressori hanno sistematicamente eseguito query sugli oggetti Salesforce, compresi Casistica, Account, Utenti e Opportunità.
GTIG ha notato: “UNC6395 ha dimostrato consapevolezza operativa di sicurezza eliminando i lavori di interrogazione, tuttavia i registri non sono stati influenzati e le organizzazioni dovrebbero comunque esaminare i registri pertinenti per cercare prove di esposizione dei dati.”
BleepingComputer spiega che gli aggressori hanno nascosto la loro infrastruttura attraverso Tor, così come con servizi di hosting cloud come AWS e DigitalOcean.
La risposta alle misure di sicurezza da parte di Salesloft e Salesforce ha incluso l’annullamento di tutti i token Drift attivi, così come la rimozione temporanea dell’app da Salesforce AppExchange.
I clienti devono ri-autenticare i loro account e cambiare le loro credenziali di accesso. Google consiglia alle organizzazioni di controllare gli oggetti Salesforce per le chiavi AWS, insieme alle credenziali Snowflake, alle password e agli URL di accesso VPN. Il personale amministrativo dovrebbe inoltre implementare il blocco degli IP, limitare i privilegi dell’app e monitorare l’attività di autenticazione.
Mentre alcuni rapporti suggerivano collegamenti con il gruppo di estorsione ShinyHunters, Google non ha trovato prove che li collegano. “Non abbiamo visto alcuna prova convincente che li collega al momento,” ha detto Austin Larsen, Principal Threat Analyst presso GTIG.
BleepingComputer sostiene che l’attacco fa parte di un’ondata più ampia di attacchi in cui Salesforce è preso di mira attraverso attacchi di social engineering che ingannano i dipendenti inducendoli ad autorizzare applicazioni pericolose.
Organizzazioni di alto profilo hanno recentemente segnalato violazioni correlate, tra cui Google, Cisco, Adidas e Louis Vuitton.
Le organizzazioni che implementano l’integrazione Drift-Salesforce dovrebbero considerare i loro dati come compromessi ed eseguire immediati interventi di rimedio per difendere i loro sistemi da ulteriori furti.
Storia precedente
Ultimi articoli 
