Van KLM tot Stellantis, een grote groep bedrijven moest de voorbije maanden datalekken aangeven na phishing hacks via een ‘softwareplatform van een derde partij’. Die derde partij is in veel gevallen een app op Salesforce, dat nu een golf rechtszaken te wachten staat.
Autobouwer Stellantis, hr-platform Workday, vliegtuigmaatschappij KLM, maar ook Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co en Pandora, allemaal moesten ze de voorbije maanden een melding maken van datalekken. Via een aanval op een platform van een derde partij, werden meestal mailadressen en contactgegevens van klanten gestolen.
Deze en honderden andere aanvallen werden grotendeels door dezelfde groep opgeëist, een bende die zich ShinyHunters noemt. Van mei tot eind augustus gebruikten ze OAuth tokens van Salesloft Drift om data te stelen van Salesforce-accounts.
De technische kant
Hoe werkt dat? Salesforce kent u als het grote CRM-platform dat bedrijven gebruiken om hun klantendatabases te beheren. Salesloft SalesDrift is een extra platform van een derde partij dat een AI chatbot of AI agent van Drift verbindt met Salesforce. Bedoeling daarvan is om verschillende organisaties toe te laten om hun conversaties te synchroniseren en om sales leads in hun CRM-systeem te zetten. Maar soms gaat dat dus mis.
Zoals onder meer opgemerkt door Google Threat Intelligence Group (GTIG) gebruikten aanvallers tijdens deze grote campagne OAuth tokens (toegangspermissies) van de Salesloft Drift-applicatie om grote hoeveelheden klantendata uit Salesforce te halen. Ze gebruikten queries om informatie op te vragen rond Salesforce-objecten zoals Cases, Accounts, Users en Opportunities. Met die objecten konden ze dan verder data als gebruikersnamen, mailadressen, telefoonnummers en meer opvragen. Het gevaar voor de klanten zit hem er dus vooral in dat aanvallers nu allerlei gegevens hebben om hen met phishing in de val te lokken.
Nadat beide bedrijven op de hoogte werden gebracht van de aanvallen, trokken ze de toegang van de tokens in. Salesforce heeft ook de Drift app tot nader order weggehaald van zijn eigen app-winkel en raadt bedrijven aan om ze voorlopig af te sluiten. Het zou hier volgens GTIG niet om een kwetsbaarheid in het kernplatform van Salesforce zelf gaan, maar specifiek om de link met de Drift AI app. Salesloft zelf geeft in een mededeling aan dat er geen impact is voor zijn klanten die geen gebruik maken van de Drift-Salesforce integratie.
De gevolgen
Enkele van de slachtoffers hebben nu rechtszaken aangespannen tegen Salesforce in Californië, de staat waar het bedrijf zijn hoofdkwartier heeft. Het gaat momenteel om zo’n vijftien ingediende zaken, waarvan meerdere vragen om erkenning als groepsrechtszaak. De CRM-maker wordt er daarbij van beschuldigd te hebben tekortgeschoten op vlak van beveiliging. De gestolen informatie zou de aanklagers een doelwit hebben gemaakt voor identiteitsdiefstal en meer.
Salesforce heeft altijd aangegeven dat de aanvallen niet het resultaat zijn van kwetsbaarheden in zijn eigen systemen. Veel van de aanklagers geven echter aan dat datalekken en phishingaanvallen die zij te verwerken kregen, kunnen worden gelinkt aan aanvallen op de Salesforce- en Salesloft Drift-systemen. Een en ander wordt hoe dan ook een interessante case voor supply chain security.