A Palo Alto Networks, uma das mais reconhecidas empresas de cibersegurança do mundo, confirmou ter sido vítima de uma violação de dados que resultou na exposição de informações de clientes e de casos de suporte. O incidente não foi um ataque direto aos sistemas da empresa, mas sim a consequência de um ataque à cadeia de fornecimento que visou uma aplicação de terceiros, a Salesloft Drift.
A empresa fez questão de sublinhar que a violação de segurança ficou limitada à sua instância de Salesforce, uma plataforma de gestão de relacionamento com o cliente (CRM). Nenhum dos seus produtos, sistemas ou serviços principais foi afetado. Segundo informações avançadas pelo BleepingComputer, a empresa já está a notificar diretamente os clientes que possam ter sido impactados.
O efeito dominó de um ataque à cadeia de fornecimento
Este incidente é um exemplo clássico de um ataque à cadeia de fornecimento, onde os cibercriminosos, em vez de atacarem diretamente um alvo bem protegido, comprometem um dos seus fornecedores de software para obter acesso. Neste caso, os atacantes abusaram de "tokens" de autenticação (chaves de acesso) comprometidos da aplicação Salesloft Drift para conseguir entrar no ambiente Salesforce da Palo Alto Networks.
Uma vez lá dentro, os atacantes conseguiram extrair principalmente informações de contacto empresarial, dados de contas associadas e registos básicos sobre casos de suporte. Embora a empresa tenha contido rapidamente o incidente, desativando a aplicação comprometida do seu ambiente, o acesso foi suficiente para a exfiltração de dados.
À caça de segredos nos pedidos de suporte
A investigação, conduzida pela Unidade 42 da própria Palo Alto Networks, revelou que os atacantes não estavam apenas a recolher contactos. A sua atividade demonstrava uma procura ativa por informação sensível dentro dos dados exfiltrados, nomeadamente nos casos de suporte, onde clientes por vezes partilham detalhes técnicos.
Os cibercriminosos utilizaram ferramentas automatizadas para procurar por credenciais, chaves de acesso e palavras-passe, utilizando termos de pesquisa como "password", "secret" ou "key". O objetivo era claro: encontrar segredos, como chaves de acesso da AWS, tokens da Snowflake ou credenciais de VPN e SSO, que pudessem ser usados para escalar o ataque e invadir outras plataformas na nuvem. Para dificultar a sua deteção, os atacantes apagaram os registos das suas atividades e utilizaram a rede Tor para ocultar a sua origem.
Recomendações e o panorama geral do ataque
Este ataque, rastreado pela equipa de inteligência de ameaças da Google como UNC6395, faz parte de uma campanha mais vasta que tem visado centenas de empresas através da exploração de integrações com o Salesforce. Gigantes como a própria Google, Zscaler, Cisco, Adidas, Qantas e Louis Vuitton foram algumas das vítimas recentes.
A Palo Alto Networks recomenda que todos os clientes da Salesloft Drift tratem este incidente com "urgência imediata", investigando os seus próprios registos, revogando e rodando todas as chaves de autenticação e credenciais, e utilizando ferramentas para verificar se foram expostos segredos nos seus dados.
Entretanto, as integrações da aplicação Drift foram desativadas pela Palto Alto Networks, Salesforce e Google, enquanto decorre a investigação para determinar a origem do roubo inicial dos tokens de autenticação.
Nenhum comentário
Seja o primeiro!