Les environnements Salesforce sont sous le feu des critiques. Le coupable serait une intégration exploitée avec Drift, et ne se limiterait peut-être pas à Salesforce.
L’équipe de sécurité de Google met en garde contre un « vol massif » dans les environnements Salesforce. Les attaques seraient en cours depuis le 8 août. Selon Google, les attaquants savent exactement ce qu’ils recherchent : ils convoitent des informations sensibles telles que les clés de clés cloud, les mots de passe et les jetons de connexion.
Intégrations compromises
Google pointe du doigt une intégration avec Drift, une plateforme d’interaction en temps réel avec les clients et les visiteurs du site web. Grâce à cette intégration, les pirates ont eu accès à de nombreux comptes Salesforce. Le groupe a utilisé des jetons d’authentification pour exporter de grandes quantités de données d’entreprise.
Les attaques visent principalement les environnements Salesforce, mais Google n’exclut pas l’exploitation d’intégrations entre Drift et d’autres applications. Ainsi, les attaquants auraient également tenté de s’introduire dans des comptes Google Workspace. Google conseille aux entreprises qui utilisent Drift de vérifier la connexion avec d’autres applications. Google et Salesforce ont désactivé l’intégration à leurs plateformes par précaution.
Les chercheurs recommandent également de renouveler les clés API, les mots de passe et les jetons associés. Les organisations ont également intérêt à vérifier leurs journaux à la recherche d’activités suspectes, telles que des requêtes inhabituelles et des tentatives de connexion à partir de réseaux Tor. L’article de blog contient une liste d’adresses IP suspectes qui peuvent indiquer une compromission.
Fuite de données chez Google
Google n’a pas pu éviter une précédente fuite de données via Salesforce. Ce mois-ci également, plusieurs grandes entreprises ont été touchées par des fuites de données. Les attaquants ont utilisé l’ingénierie sociale pour accéder à l’environnement client. Il ne semble pas y avoir de lien direct avec cette campagne d’attaque, qui est également attribuée à d’autres auteurs.
lire aussi
Les pirates informatiques piratent les systèmes principalement via les humains : hausse des attaques d’ingénierie sociale
Salesforce a fait appel à Mandiant, une filiale de Google, pour mener des recherches plus approfondies et communique via ses propres canaux. Les deux entreprises soulignent qu’aucun de leurs systèmes centraux n’a été touché.