Компанія Salesloft повідомила, що злом її облікового запису на GitHub у березні призвів до викрадення токенів аутентифікації, які згодом використовувалися для масштабної кібератаки на кілька великих технологічних компаній.
За даними розслідування, проведеного командою реагування на інциденти Google Mandiant, Salesloft зазначила на своїй сторінці з інформацією про витік даних, що недосвідчені хакери отримали доступ до облікового запису на GitHub і здійснювали розвідувальну діяльність з березня по червень, що дало їм можливість завантажити «контент з кількох репозиторіїв, додати гостевого користувача та встановити робочі процеси.»
Цей хронологічний факт викликає нові питання щодо ступеня безпеки компанії, зокрема чому Salesloft зайняло близько шести місяців для виявлення вторгнення.
Salesloft повідомила, що інцидент наразі «локалізовано».
Після зламу облікового запису GitHub хакери отримали доступ до середовища Amazon Web Services, яке використовує маркетингова платформа Salesloft Drift, що дозволило їм викрасти OAuth-токени для клієнтів Drift. OAuth є стандартом, що дозволяє користувачам авторизувати один додаток чи сервіс для підключення до іншого. Завдяки використанню OAuth, Drift може інтегруватися з такими платформами, як Salesforce, для взаємодії з відвідувачами веб-сайтів.
Викрадаючи ці токени, зловмисники отримали доступ до даних кількох клієнтів Salesloft, таких як Bugcrowd, Cloudflare, Google, Proofpoint, Palo Alto Networks та Tenable.
Публікації з кібербезпеки DataBreaches.net та Bleeping Computer раніше повідомляли, що хакери, які стали причиною витоку, є відомою групою ShinyHunters, яка, ймовірно, намагається шантажувати жертв, зв’язуючись з ними приватно.
