Palo Alto Networks และ Cloudflare ข้อมูล CRM รั่ว หลังโดนแฮกเกอร์เจาะผ่าน Salesloft Drift

วงการความปลอดภัยไซเบอร์สั่นสะเทือนอีกครั้ง หลังมีรายงานการรั่วไหลของข้อมูลจากสองบริษัทชั้นนำอย่าง Palo Alto Networks และ Cloudflare สืบเนื่องจากการโจมตีซัพพลายเชนที่พุ่งเป้าไปยังแพลตฟอร์มการตลาดและการสื่อสารกับลูกค้า Salesloft และ Drift โดยแฮกเกอร์ได้เข้าถึงข้อมูล CRM ที่บรรจุข้อมูลลูกค้าและข้อมูลการสนับสนุนลูกค้าของทั้งสององค์กร

Salesloft Drift เป็นการผสานการทำงานของสองแพลตฟอร์มด้านการขายและการตลาด ได้แก่ Salesloft ซึ่งเป็นเครื่องมือบริหารทีมขายและติดตามลูกค้า และ Drift ที่เน้นการเก็บข้อมูลลูกค้าผ่านระบบแชตบอตและการสนทนา เมื่อรวมกันแล้วจึงสามารถส่งต่อข้อมูลจาก Drift ไปยัง Salesloft หรือ Salesforce โดยอัตโนมัติ เพื่อให้ทีมขายเข้าถึงข้อมูลลูกค้าแบบครบวงจร

อย่างไรก็ตาม จุดแข็งนี้กลับกลายเป็นช่องทางให้แฮกเกอร์ใช้เป็นสะพานเข้าสู่ระบบ CRM และดึงข้อมูลที่มีความละเอียดอ่อนได้ในครั้งนี้

เหตุการณ์รั่วไหลของ Palo Alto Networks

จากรายงานของ BleepingComputer การรั่วไหลเริ่มต้นจากการที่แฮกเกอร์สามารถแฮกบัญชีของพนักงานที่ใช้ Drift และ Salesloft ซึ่งเป็นเครื่องมือสำหรับสื่อสารและบริหารความสัมพันธ์ลูกค้า ทำให้ผู้ไม่หวังดีเข้าถึงข้อมูลภายในของ Palo Alto Networks ที่เกี่ยวกับการสนับสนุนลูกค้าและการขาย ข้อมูลที่รั่วไหลประกอบด้วย ชื่อ ที่อยู่ อีเมล เบอร์โทรศัพท์ และรายละเอียดการติดต่อของลูกค้าองค์กร

อย่างไรก็ตาม Palo Alto Networks ยืนยันว่า ระบบโครงสร้างพื้นฐานหลักและระบบรักษาความปลอดภัยของผลิตภัณฑ์ไม่ถูกกระทบ และได้ดำเนินมาตรการด้านความปลอดภัยเพิ่มเติมทันที รวมถึงปิดบัญชีที่ถูกแฮกและแจ้งเตือนลูกค้าทั้งหมดที่ได้รับผลกระทบ

Cloudflare ก็โดนเล่นงานเช่นกัน

ในเวลาไล่เลี่ยกัน Cloudflare บริษัทผู้ให้บริการเว็บโครงสร้างพื้นฐานระดับโลก ได้เปิดเผยว่า Salesforce instance ที่ใช้บริหารจัดการกรณีลูกค้าถูกเข้าถึงโดยแฮกเกอร์ ซึ่งเป็นส่วนหนึ่งของ Supply-Chain Attack เดียวกันกับ Palo Alto Networks

โดยข้อมูลที่ถูกดึงออกไปประกอบด้วย API tokens จำนวน 104 ตัว ที่ Cloudflare ออกให้ และแม้จะไม่มีการตรวจพบกิจกรรมต้องสงสัยจากการใช้โทเคนเหล่านั้น บริษัทได้รีเซ็ตโทเคนทั้งหมดทันทีหลังได้รับแจ้งในวันที่ 23 สิงหาคม และแจ้งเตือนลูกค้าที่ได้รับผลกระทบในวันที่ 2 กันยายน

Cloudflare ยืนยันเช่นกันว่าข้อมูลสำคัญ เช่น คีย์เข้ารหัส ข้อมูลโครงสร้างพื้นฐาน และระบบเครือข่ายหลัก ไม่ได้รับความเสียหาย พร้อมทั้งได้ปิดการเข้าถึงระบบที่เกี่ยวข้อง และตรวจสอบการโจมตีอย่างละเอียดร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์

ช่องโหว่ของ Salesloft Drift

ทั้งสองเหตุการณ์มีจุดร่วมว่ามาจากการโจมตี supply-chain ของ Salesloft Drift Integration ซึ่งทำให้แฮกเกอร์สามารถนำ OAuth token ไปใช้เข้าถึงระบบ Salesforce ขององค์กรต่างๆ ได้อย่างไม่ถูกต้อง พร้อมกับดึงข้อมูลสำคัญ เช่น ข้อมูลติดต่อ ข้อความเคสสนับสนุน หรือแม้แต่ข้อมูลความปลอดภัยภายใน เช่น API keys และ credential อื่นๆ

การสอบสวนระบุว่า กลุ่มที่อยู่เบื้องหลังการโจมตีนี้คือ UNC6395 ซึ่งใช้แนวทางที่มีความเป็นระบบสูง โดยขโมยโทเค็นแบบ OAuth และ refresh tokens จากการเชื่อมต่อ Salesloft Drift แล้วดำเนินการดึงข้อมูลจาก Salesforce instance ของเหยื่อ พร้อมสแกนหาข้อมูลอ่อนไหว เช่น AWS access keys, รหัสผ่าน, และ Snowflake tokens จากนั้นลบ log และใช้เครือข่าย Tor ในการซ่อนตัวตน

ที่มา

ที่มา