Salesloft ผู้สร้างแชตบอตเชื่อม Salesforce ถูกแฮก, Cloudflare ได้รับผลกระทบ เตือนลูกค้าเปลี่ยนกุญแจและรหัสผ่าน
Body
เมื่อสัปดาห์ที่ผ่านมา Salesloft ผู้สร้างแชตบอตสำหรับให้บริการบนหน้าเว็บโดยเชื่อมเข้ากับ Salesforce รายงานเหตุถูกแฮก โดยทาง Salesloft พบว่าคนร้ายเข้าถึงระบบได้ในช่วงวันที่ 8-18 สิงหาคมที่ผ่านมา และสามารถดึงข้อมูลลูกค้าของ Salesloft ออกไปได้ จากนั้นจึงใช้ข้อมูลที่ได้ไป ดึงข้อมูลจาก Salesforce ของลูกค้า Salesloft อีกที
บริษัทที่เป็นลูกค้าของ Salesloft เป็นบริษัทใหญ่ๆ จำนวนมาก ล่าสุด Cloudflare ออกมาประกาศว่าได้รับผลกระทบเช่นเดียวกัน โดย Salesforce ของ Cloudflare นั้นใช้ทั้งฝั่งขายสินค้าและให้บริการซัพพอร์ตด้วย ตอนนี้ยืนยันว่าคนร้ายสามารถดูดข้อมูล Salesforce ของ Cloudflare ออกไปในช่วงวันที่ 12-17 สิงหาคมที่ผ่านมา โดยกระทบ case object ในระบบ Salesforce แต่ไม่กระทบถึงไฟล์แนบ (ซึ่งร้ายแรงกว่า เพราะบางครั้งลูกค้าแนบไฟล์ tcpdump หรือ HAR จากเบราว์เซอร์ให้ซัพพอร์ตช่วยดู และมักจะติดเอา cookie หรือ token ไปด้วย) แต่ในข้อความโต้ตอบกับซัพพอร์ตกับทีมงานก็อาจจะมี token หรือ API key ต่างๆ ติดอยู่ด้วย ทาง Cloudflare แนะนำลูกค้าว่าการสื่อสารกับซัพพอร์ตในช่วงเวลาดังกล่าวควรถือว่ามีการรั่วไหล
ทาง Cloudflare ระบุว่า Salesloft เริ่มรู้ตัวว่าระบบถูกแฮกตั้งแต่วันที่ 20 สิงหาคมที่ผ่านมา แต่ไม่ได้แจ้งลูกค้ารวมถึง Cloudflare ในระบบประกาศของ Salesloft มีเพียงการแจ้งเตือนว่าจะรีเซ็ตการเชื่อมต่อเพื่อ "ป้องกันไว้ก่อน" ทาง Salesforce และ Salesloft แจ้งเตือน Cloudflare ในวันที่ 23 สิงหาคม
ตอนนี้ Cloudflare แจ้งเตือนลูกค้าที่ติดต่อซัพพอร์ตและเคสถูกดูดออกไปผ่านทางอีเมล และขึ้นแบนเนอร์แจ้งเตือนบน dashboard พร้อมกับวิเคราะห์ข้อมูลที่หลุดออกไป พบ token ของ Cloudflare เอง 104 ชุดและรีเซ็ตทั้งหมดแล้ว โดยยังไม่พบการโจมตีด้วยกุญแจเหล่านี้
คนร้ายพยายามค้นหากุญแจ AWS, Snowflake, และรหัสผ่านอื่นๆ เพื่อนำไปใช้งานในการโจมตีต่อไป
ที่มา - Cloudflare, Salesloft, Google Cloud Blog
lew Wed, 03/09/2025 - 01:24
Continue reading...
Body
เมื่อสัปดาห์ที่ผ่านมา Salesloft ผู้สร้างแชตบอตสำหรับให้บริการบนหน้าเว็บโดยเชื่อมเข้ากับ Salesforce รายงานเหตุถูกแฮก โดยทาง Salesloft พบว่าคนร้ายเข้าถึงระบบได้ในช่วงวันที่ 8-18 สิงหาคมที่ผ่านมา และสามารถดึงข้อมูลลูกค้าของ Salesloft ออกไปได้ จากนั้นจึงใช้ข้อมูลที่ได้ไป ดึงข้อมูลจาก Salesforce ของลูกค้า Salesloft อีกที
บริษัทที่เป็นลูกค้าของ Salesloft เป็นบริษัทใหญ่ๆ จำนวนมาก ล่าสุด Cloudflare ออกมาประกาศว่าได้รับผลกระทบเช่นเดียวกัน โดย Salesforce ของ Cloudflare นั้นใช้ทั้งฝั่งขายสินค้าและให้บริการซัพพอร์ตด้วย ตอนนี้ยืนยันว่าคนร้ายสามารถดูดข้อมูล Salesforce ของ Cloudflare ออกไปในช่วงวันที่ 12-17 สิงหาคมที่ผ่านมา โดยกระทบ case object ในระบบ Salesforce แต่ไม่กระทบถึงไฟล์แนบ (ซึ่งร้ายแรงกว่า เพราะบางครั้งลูกค้าแนบไฟล์ tcpdump หรือ HAR จากเบราว์เซอร์ให้ซัพพอร์ตช่วยดู และมักจะติดเอา cookie หรือ token ไปด้วย) แต่ในข้อความโต้ตอบกับซัพพอร์ตกับทีมงานก็อาจจะมี token หรือ API key ต่างๆ ติดอยู่ด้วย ทาง Cloudflare แนะนำลูกค้าว่าการสื่อสารกับซัพพอร์ตในช่วงเวลาดังกล่าวควรถือว่ามีการรั่วไหล
ทาง Cloudflare ระบุว่า Salesloft เริ่มรู้ตัวว่าระบบถูกแฮกตั้งแต่วันที่ 20 สิงหาคมที่ผ่านมา แต่ไม่ได้แจ้งลูกค้ารวมถึง Cloudflare ในระบบประกาศของ Salesloft มีเพียงการแจ้งเตือนว่าจะรีเซ็ตการเชื่อมต่อเพื่อ "ป้องกันไว้ก่อน" ทาง Salesforce และ Salesloft แจ้งเตือน Cloudflare ในวันที่ 23 สิงหาคม
ตอนนี้ Cloudflare แจ้งเตือนลูกค้าที่ติดต่อซัพพอร์ตและเคสถูกดูดออกไปผ่านทางอีเมล และขึ้นแบนเนอร์แจ้งเตือนบน dashboard พร้อมกับวิเคราะห์ข้อมูลที่หลุดออกไป พบ token ของ Cloudflare เอง 104 ชุดและรีเซ็ตทั้งหมดแล้ว โดยยังไม่พบการโจมตีด้วยกุญแจเหล่านี้
คนร้ายพยายามค้นหากุญแจ AWS, Snowflake, และรหัสผ่านอื่นๆ เพื่อนำไปใช้งานในการโจมตีต่อไป
ที่มา - Cloudflare, Salesloft, Google Cloud Blog
lew Wed, 03/09/2025 - 01:24
Continue reading...