In maart braken hackers binnen in de GitHub- en AWS-omgevingen van Salesloft. Het zaadje voor een reeks grote datalekken deze zomer was daarmee geplant.
Google, Palo Alto, Zscaler, Clouflare, Tenable en meer: het lijstje van bedrijven dat deze zomer met een datalek te maken kreeg, is lang. De datalekken hebben geen gemeenschappelijke factor: Salesloft Drift. Via het populaire sales engagementplatform wisten hackers binnen te breken in de Salesforce-omgevingen van de getroffen bedrijven.
De oorzaak van de datalekken is ondertussen gekend. Salesloft kreeg eerst zelf met een hack te maken, blijkt uit onderzoek van Google-dochter Mandiant. De aanvallers braken eerst binnen in een GitHub-account van het bedrijf.
Van daaruit verplaatsten de hackers zich naar de AWS-omgeving, waar ze authenticatietokens wisten te bekomen. Zo konden ze misbruik van integratie tussen Salesloft en Salesforce-omgevingen om klantendata buit te maken. Dit alles zou ‘tussen maart en juni’ gebeurd moeten zijn, met een piek van datalekken die deze zomer bereikt werd.
Integratie hersteld
Salesloft kondigt aan dat het de situatie weer helemaal onder controle heeft. Uit het onderzoek is gebleken dat er ‘geen aanvullende aanwijzingen voor compromittering gevonden zijn’, wat Salesloft gerust stelt dat de indringers niet meer aanwezig zijn op zijn interne systemen.
Bijgevolg kan de koppeling met Salesforce hersteld worden, nadat die werd losgetrokken eens het aantal meldingen van datalekken een hoogtepunt bereikte. Klanten worden verzocht contact op te nemen met de klantendienst om hun gegevens opnieuw te synchroniseren.
Zwakste schakel
Het voorval is een goede illustratie van het gevaar van zogenaamde supply chain-aanvallen. Daarbij kraken hackers systemen via de zwakste link en dat kan een toeleverancier zijn. In dit geval hadden Salesforce langs de ene kant, en slachtoffers zoals Zscaler, Palo Alto en Google langs de andere kant, hun zaken wel op orde.
Een fout bij tussenschakel Salesloft Drift maakte de aanvallen toch mogelijk. In Europa besteedt de NIS2-regelgeving daarom veel aandacht aan dergelijke risico’s.