Cloudflare baru-baru ini mendedahkan pelanggaran keselamatan yang mendedahkan data sokongan pelanggan melalui integrasi pihak ketiga yang terkompromi. Insiden ini menyerlahkan kebimbangan yang semakin meningkat mengenai serangan rantaian bekalan yang menyasarkan integrasi perisian perniagaan ke perniagaan, menjejaskan beratus-ratus organisasi di seluruh dunia.
Organisasi Lain Yang Terjejas:
- Zscaler
- Palo Alto Networks
- Sekurang-kurangnya 700 jumlah mangsa yang dijejaki oleh Google Threat Intelligence
- Serangan menyasarkan pelanggan Salesloft yang mempunyai integrasi Salesforce
Butiran Pelanggaran dan Kesan Kepada Pelanggan
Serangan berlaku antara 9-17 Ogos 2023, apabila pelaku ancaman memperoleh akses kepada contoh Salesforce Cloudflare melalui kelayakan OAuth yang terkompromi daripada Salesloft , sebuah platform penglibatan jualan. Pelanggaran tersebut mendedahkan maklumat hubungan pelanggan, butiran kes sokongan, dan berpotensi data sensitif seperti token API yang mungkin dikongsi pelanggan dalam tiket sokongan.
Cloudflare menemui 104 token API dalam data yang terkompromi dan secara proaktif memutar semua token tersebut sebagai langkah berjaga-jaga. Syarikat menekankan bahawa tiada perkhidmatan teras Cloudflare atau infrastruktur yang terkompromi, mengehadkan kesan kepada data sistem sokongan pelanggan mereka sahaja.
Jenis Data yang Terjejas:
- Maklumat hubungan pelanggan (nama, e-mel, nombor telefon)
- Tajuk kes sokongan dan surat-menyurat
- Data sensitif yang berpotensi dikongsi dalam tiket sokongan ( token API , log, kata laluan)
- 104 token API Cloudflare dikenal pasti dan diputar
Respons Komuniti dan Isu Akses
Pemberitahuan pelanggaran telah mencetuskan perbincangan dalam kalangan pengguna mengenai akses data dan akauntabiliti vendor. Beberapa pelanggan yang terjejas melaporkan kesukaran mengakses sejarah kes sokongan mereka untuk menyemak maklumat yang mungkin telah terdedah. Pengguna peringkat percuma khususnya bergelut dengan mengakses rekod sokongan, walaupun menerima pemberitahuan pelanggaran.
Mereka jelas gagal menguji proses mereka pada setiap jenis akaun.
Sesetengah pengguna menyatakan bahawa respons Cloudflare menonjol berbanding pelanggaran vendor lain baru-baru ini, memuji garis masa terperinci syarikat dan penerimaan tanggungjawab untuk pilihan vendor pihak ketiga mereka.
 |
|---|
| Ilustrasi ini menangkap suasana introspektif mengenai cabaran yang dihadapi pengguna dalam mengakses data mereka di tengah-tengah pelanggaran data, menekankan kepentingan akauntabiliti vendor |
Kempen Serangan Rantaian Bekalan Yang Lebih Luas
Insiden ini adalah sebahagian daripada serangan rantaian bekalan yang lebih besar yang menjejaskan syarikat teknologi utama termasuk Google , Zscaler , dan Palo Alto Networks . Threat Intelligence Group Google menjejaki sekurang-kurangnya 700 mangsa dalam kempen ini, menunjukkan kesan meluas daripada menyasarkan integrasi perisian perniagaan yang popular.
Kaedah serangan melibatkan mengkompromi sistem Salesloft untuk mencuri kelayakan OAuth , yang kemudiannya memberikan akses kepada sistem pelanggan yang bersambung. Teknik ini membolehkan penyerang melanggar berbilang organisasi melalui kompromi vendor tunggal, menjadikannya sasaran menarik untuk pelaku ancaman yang canggih.
Garis Masa Serangan:
- 9 Ogos 2023: Percubaan peninjauan awal
- 12 Ogos 2023: Pelaku ancaman memperoleh akses melalui kelayakan Salesloft yang dicuri
- 13-14 Ogos 2023: Penghitungan data dan pemetaan persekitaran
- 16-17 Ogos 2023: Penyaringan data akhir
- 20 Ogos 2023: Salesloft membatalkan sambungan OAuth
- 23 Ogos 2023: Cloudflare memulakan tindak balas insiden
Cadangan Keselamatan dan Pengajaran
Cloudflare menyediakan cadangan keselamatan terperinci untuk organisasi melindungi diri daripada serangan serupa. Langkah utama termasuk segera memutuskan sambungan integrasi Salesloft , memutar semua kelayakan aplikasi pihak ketiga, dan melaksanakan jadual putaran kelayakan secara berkala.
Syarikat juga menekankan kepentingan menyemak data kes sokongan untuk maklumat sensitif dan melaksanakan kawalan akses keistimewaan minimum untuk integrasi pihak ketiga. Pemantauan yang dipertingkatkan untuk corak akses data yang luar biasa dan log masuk dari lokasi yang tidak dikenali boleh membantu mengesan serangan sedemikian lebih awal.
Insiden ini berfungsi sebagai peringatan bahawa walaupun syarikat yang berfokuskan keselamatan kekal terdedah kepada serangan rantaian bekalan. Memandangkan perniagaan semakin bergantung kepada perkhidmatan perisian yang saling berkaitan, keselamatan vendor pihak ketiga menjadi sama kritikal dengan langkah keselamatan dalaman.
Rujukan: The impact of the Salesloft Drift breach on Cloudflare and our customers