Thought Leadership
Auch der nach Marktkapitalisierung größte Cybersicherheitskonzern Palo Alto Networks ist von der großangelegten Supply-Chain-Attacke auf Salesforce-Systeme betroffen und bestätigt einen Datenabfluss.
Wie BleepingComputer berichtet, gehört Palo Alto Networks zu den hunderten Firmen, die durch Cyberangriffe auf Salesforce-Instanzen kompromittiert wurden. Die Angreifer nutzten dabei gekaperte Zugangstokens der KI-Marketing-Plattform SalesLoft Drift als Einfallstor.
Kundendaten und Support-Tickets abgeflossen
Palo Alto versichert, den Vorfall rasch eingegrenzt und die Drift-App aus der eigenen Infrastruktur entfernt zu haben. Die firmeneigenen Produkte, Systeme und Services seien nicht beeinträchtigt.
Die kompromittierten Informationen umfassen laut Kundenbenachrichtigung hauptsächlich geschäftliche Kontaktdaten wie Namen, Kontaktinformationen, Firmenattribute sowie grundlegende Support-Case-Details. “Technische Support-Dateien oder Anhänge zu Kundensupport-Fällen waren nicht Teil der Datenexfiltration”, heißt es in dem Schreiben.
ShinyHunters reklamiert Urheberschaft
Die Hacker-Gruppierung ShinyHunters und weitere Cyberkriminelle beanspruchen die Verantwortung für die Angriffsserie. Neben Palo Alto Networks traf es auch Google, Victoria’s Secret, Zscaler, TransUnion, Farmers Insurance, Air France, KLM und weitere große Unternehmen.
Unit 42 schlägt Alarm
Dienstag veröffentlichte Palo Altos Cyber-Threat-Intelligence-Einheit Unit 42 eine dringende Sicherheitswarnung. Die Bedrohungsakteure hätten massenhaft sensible Daten aus verschiedenen Salesforce-Objekten extrahiert, einschließlich Account-, Contact-, Case- und Opportunity-Records.
“Organisationen mit Salesloft-Drift-Integration sollten diesem Vorfall höchste Priorität einräumen”, mahnt PAN.
Notfallmaßnahmen empfohlen
Die Sicherheitsexperten raten zu sofortigen Schritten: Untersuchung aller Drift-API-Verbindungen, Überprüfung der Authentifizierungsaktivitäten und Salesforce-Logs auf verdächtige Aktivitäten sowie Rotation aller potentiell kompromittierten Credentials.
“Dazu gehören Salesforce-API-Keys, Connected-App-Zugangsdaten und alle anderen Systemzugänge aus den kompromittierten Daten”, so der Cybersecurity-Konzern. Unternehmen sollten sich zudem vor Social-Engineering-Versuchen in Folge der Datenpanne hüten.
