Palo Alto Networks ha confirmado que es una de las cientos de organizaciones afectadas por un significativo ataque de la cadena de suministro que resultó en el robo de datos de clientes de sus instancias de Salesforce.
La violación se originó a partir de una aplicación de terceros comprometida, la deriva de Salesloft, y no afectó a ninguno de los propios productos o servicios de Palo Alto Networks, que la compañía dice que siguen siendo seguros.
La firma de ciberseguridad anunció que tan pronto como se dio cuenta del incidente, desconectó al proveedor de su entorno de Salesforce y lanzó una investigación completa dirigida por su equipo de seguridad de la Unidad 42.
Los datos expuestos consisten principalmente en información de contacto comercial, detalles de la cuenta de ventas internas y datos básicos de casos de clientes. Palo Alto Networks declaró que está en el proceso de contactar un “número limitado de clientes” cuyos datos potencialmente más sensibles pueden haber sido expuestos, Palo Alto Networks dicho.
La campaña generalizada de robos de datos tuvo lugar entre el 8 de agosto y el 18 de agosto de 2025. Un actor de amenazas, que el grupo de inteligencia de amenazas de Google rastrea como UNC6395, apalancó los tokens de autenticación de OAuth comprometidos asociados con la integración de deriva de Salesloft para obtener acceso no autorizado y exfiltran grandes volúmenes de datos de los entornos de ventas corporativas de ventas.
El ataque de la cadena de suministro que se origina en la aplicación comprometida de deriva de SalesLoft ha afectado a otras compañías de tecnología importantes, incluida la firma de ciberseguridad Zscaler y Google.
Según un breve De la Unidad 42, los atacantes realizaron una exfiltración masiva de los objetos de Salesforce, incluidos los registros de cuenta, contacto, casos y oportunidades.
El motivo principal parece ser la cosecha de credenciales; Después de robar los datos, los piratas informáticos lo escanearon activamente para secretos como contraseñas y claves de acceso para otros servicios en la nube, como Amazon Web Services (AWS) y Snowflake, para facilitar más ataques.
Los investigadores señalaron que el actor utilizó herramientas automatizadas de Python para el robo de datos e intentaron cubrir sus pistas eliminando los registros de consultas.
El incidente ha desencadenado una amplia respuesta de la industria. El 20 de agosto, Salesloft comenzó a notificar a los clientes afectados y, en colaboración con Salesforce, revocó todos los tokens de acceso activo para la aplicación de deriva para reducir la conexión.
Salesforce también eliminó temporalmente la aplicación Drift de su mercado AppExchange. El análisis posterior de Google reveló que el alcance de la violación era más amplio de lo que inicialmente creía, lo que potencialmente comprometía todos los tokens de autenticación conectados a la plataforma de deriva, no solo aquellos integrados con Salesforce.
La Unidad 42 de Palo Alto Networks ha instado a todas las organizaciones que utilizan la integración de deriva de SalesLoft para actuar con urgencia. Las recomendaciones incluyen realizar una revisión exhaustiva de los registros de Salesforce para actividades sospechosas, particularmente para una cadena de agente de usuario asociada con las herramientas del atacante (Python/3.11 AIOHTTP/3.12.15), e inmediatamente girando cualquier credencial o secreto que pueda haberse almacenado en los datos comprometidos.
El equipo de seguridad también advirtió a las organizaciones afectadas que estén atentos a los intentos de ingeniería social de seguimiento y que refuerzan la seguridad con cero principios de confianza.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
