🌟 Atualização imperdível para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Palo Alto Networks sofreu uma violação de dados que expuseram os dados e os casos de suporte do cliente, depois que os atacantes abusaram de tokens OAuth comprometidos da violação da Salesloft Drift para acessar sua instância do Salesforce.
A Companhia afirma que foi uma das centenas de empresas afetadas por um ataque de cadeia de suprimentos divulgado na semana passada, na qual os atores de ameaças abusaram dos tokens de autenticação roubados para exfiltrar os dados.
O BleepingComputer soube da violação neste fim de semana com os clientes da Palo Alto Networks, que expressaram preocupação com o fato de a violação expor informações confidenciais, como informações e senhas de TI, compartilhadas em casos de suporte.
A Palo Alto Networks confirmou posteriormente ao BleepingComputer que o incidente foi limitado ao seu Salesforce CRM e não afetou nenhum produto, sistemas ou serviços.
"A Palo Alto Networks confirma que foi uma das centenas de clientes impactados pelo ataque generalizado da cadeia de suprimentos direcionada ao aplicativo Salesloft Drift que expôs dados do Salesforce", disse à BleepingComputer da PalopingComputer.
"Contamos rapidamente o incidente e desativamos o aplicativo do nosso ambiente Salesforce. Nossa investigação da unidade 42 confirma que essa situação não afetou nenhum produto, sistemas ou serviços da Palo Alto Networks".
"O invasor extraiu principalmente o contato comercial e as informações relacionadas à conta, juntamente com os registros internos da conta de vendas e os dados básicos do caso. Estamos no processo de notificar diretamente os clientes impactados".
A Palo Alto Networks disse à BleepingComputer que os dados do caso de suporte exfiltrado continham apenas informações de contato e comentários de texto, e não arquivos ou anexos de suporte técnico.
A campanha, rastreada pela equipe de inteligência de ameaças do Google como UNC6395, especificamente segmentou casos de suporte para identificar dados confidenciais, como tokens de autenticação, senhas e segredos em nuvem, que podem ser usados para girar em outros serviços em nuvem e roubar dados.
"Nossas observações indicam que o ator de ameaças realizou exfiltração em massa de dados sensíveis de vários objetos do Salesforce, incluindo conta de conta, contato, caso e registros de oportunidade", alertou as redes Palo Alto em um resumo de ameaças compartilhado com o BleepingComputer.
"Após a exfiltração, o ator parecia examinar ativamente os dados adquiridos em busca de credenciais, provavelmente com a intenção de facilitar novos ataques ou expandir seu acesso. Observamos que o ator de ameaças excluiu consultas para ocultar evidências dos empregos que eles administram, provavelmente como uma técnica anti-forense.
A Palo Alto Networks relata que os invasores estavam procurando segredos, incluindo as chaves de acesso da AWS (Akia), tokens de floco de neve, cordas de login VPN e SSO e palavras -chave genéricas como "senha", "segredo" ou "chave".
Essas credenciais podem ser usadas para violar plataformas de nuvem adicionais para roubar dados para ataques de extorsão.
As redes do Google e Palo Alto dizem que os atores de ameaças usaram ferramentas automatizadas para roubar dados, com strings agentes do usuário indicando que as ferramentas de Python personalizadas foram usadas:
Python-Requests/2.32.4
Python/3.11 aiohttp/3.12.15
Salesforce-multi-org-fetcher/1.0
Salesforce-cli/1.0
Como parte desses ataques, os atores de ameaças definiram os dados da conta da conta, contato, caso e objetos do Salesforce.
Para fugir da detecção, os atores da ameaça excluíram toras e usaram o Tor para ofuscar sua origem.
A Palo Alto Networks afirma que revogou os tokens associados e girou as credenciais após o incidente.
A empresa recomenda que os clientes da Salesloft Drift tratem o incidente com "urgência imediata" e executem as seguintes ações:
Investigue o Salesforce, o provedor de identidade e os registros de rede para um compromisso potencial.
Revise todas as integrações de deriva para conexões suspeitas.
Revogar e girar as chaves, credenciais e segredos de autenticação.
Use ferramentas automatizadas, como trufflehog e gitleaks, para digitalizar repositórios de código para chaves ou tokens incorporados de autenticação.
Se os dados foram confirmados como exfiltrados, eles devem ser revisados quanto à presença de credenciais.
Palto Alto Networks, Salesforce e Google agora desabilitaram integrações de deriva, enquanto a investigação sobre como os tokens OAuth foram roubados continua.
O ataque da cadeia de suprimentos impactou outras empresas, incluindo o Zscaler e o Google.
Salesforce Data Rout Attacks
Desde o início do ano, o Salesforce tem sido alvo de ataques de roubo de dados conduzidos por membros associados ao grupo de extorsão Shinyhunters.
Em ataques anteriores, os atores de ameaças conduziram o Voice Phishing (Vishing) para induzir os funcionários a vincular um aplicativo malicioso da OAuth às instâncias do Salesforce de sua empresa.
Uma vez vinculados, os atores de ameaças usaram a conexão para baixar e roubar os bancos de dados, que foram usados para extorquir a empresa por e -mail.
No entanto, com a violação de Salesloft, os atores de ameaças foram capazes de roubar dados usando
A Companhia afirma que foi uma das centenas de empresas afetadas por um ataque de cadeia de suprimentos divulgado na semana passada, na qual os atores de ameaças abusaram dos tokens de autenticação roubados para exfiltrar os dados.
O BleepingComputer soube da violação neste fim de semana com os clientes da Palo Alto Networks, que expressaram preocupação com o fato de a violação expor informações confidenciais, como informações e senhas de TI, compartilhadas em casos de suporte.
A Palo Alto Networks confirmou posteriormente ao BleepingComputer que o incidente foi limitado ao seu Salesforce CRM e não afetou nenhum produto, sistemas ou serviços.
"A Palo Alto Networks confirma que foi uma das centenas de clientes impactados pelo ataque generalizado da cadeia de suprimentos direcionada ao aplicativo Salesloft Drift que expôs dados do Salesforce", disse à BleepingComputer da PalopingComputer.
"Contamos rapidamente o incidente e desativamos o aplicativo do nosso ambiente Salesforce. Nossa investigação da unidade 42 confirma que essa situação não afetou nenhum produto, sistemas ou serviços da Palo Alto Networks".
"O invasor extraiu principalmente o contato comercial e as informações relacionadas à conta, juntamente com os registros internos da conta de vendas e os dados básicos do caso. Estamos no processo de notificar diretamente os clientes impactados".
A Palo Alto Networks disse à BleepingComputer que os dados do caso de suporte exfiltrado continham apenas informações de contato e comentários de texto, e não arquivos ou anexos de suporte técnico.
A campanha, rastreada pela equipe de inteligência de ameaças do Google como UNC6395, especificamente segmentou casos de suporte para identificar dados confidenciais, como tokens de autenticação, senhas e segredos em nuvem, que podem ser usados para girar em outros serviços em nuvem e roubar dados.
"Nossas observações indicam que o ator de ameaças realizou exfiltração em massa de dados sensíveis de vários objetos do Salesforce, incluindo conta de conta, contato, caso e registros de oportunidade", alertou as redes Palo Alto em um resumo de ameaças compartilhado com o BleepingComputer.
"Após a exfiltração, o ator parecia examinar ativamente os dados adquiridos em busca de credenciais, provavelmente com a intenção de facilitar novos ataques ou expandir seu acesso. Observamos que o ator de ameaças excluiu consultas para ocultar evidências dos empregos que eles administram, provavelmente como uma técnica anti-forense.
A Palo Alto Networks relata que os invasores estavam procurando segredos, incluindo as chaves de acesso da AWS (Akia), tokens de floco de neve, cordas de login VPN e SSO e palavras -chave genéricas como "senha", "segredo" ou "chave".
Essas credenciais podem ser usadas para violar plataformas de nuvem adicionais para roubar dados para ataques de extorsão.
As redes do Google e Palo Alto dizem que os atores de ameaças usaram ferramentas automatizadas para roubar dados, com strings agentes do usuário indicando que as ferramentas de Python personalizadas foram usadas:
Python-Requests/2.32.4
Python/3.11 aiohttp/3.12.15
Salesforce-multi-org-fetcher/1.0
Salesforce-cli/1.0
Como parte desses ataques, os atores de ameaças definiram os dados da conta da conta, contato, caso e objetos do Salesforce.
Para fugir da detecção, os atores da ameaça excluíram toras e usaram o Tor para ofuscar sua origem.
A Palo Alto Networks afirma que revogou os tokens associados e girou as credenciais após o incidente.
A empresa recomenda que os clientes da Salesloft Drift tratem o incidente com "urgência imediata" e executem as seguintes ações:
Investigue o Salesforce, o provedor de identidade e os registros de rede para um compromisso potencial.
Revise todas as integrações de deriva para conexões suspeitas.
Revogar e girar as chaves, credenciais e segredos de autenticação.
Use ferramentas automatizadas, como trufflehog e gitleaks, para digitalizar repositórios de código para chaves ou tokens incorporados de autenticação.
Se os dados foram confirmados como exfiltrados, eles devem ser revisados quanto à presença de credenciais.
Palto Alto Networks, Salesforce e Google agora desabilitaram integrações de deriva, enquanto a investigação sobre como os tokens OAuth foram roubados continua.
O ataque da cadeia de suprimentos impactou outras empresas, incluindo o Zscaler e o Google.
Salesforce Data Rout Attacks
Desde o início do ano, o Salesforce tem sido alvo de ataques de roubo de dados conduzidos por membros associados ao grupo de extorsão Shinyhunters.
Em ataques anteriores, os atores de ameaças conduziram o Voice Phishing (Vishing) para induzir os funcionários a vincular um aplicativo malicioso da OAuth às instâncias do Salesforce de sua empresa.
Uma vez vinculados, os atores de ameaças usaram a conexão para baixar e roubar os bancos de dados, que foram usados para extorquir a empresa por e -mail.
No entanto, com a violação de Salesloft, os atores de ameaças foram capazes de roubar dados usando
#samirnews #samir #news #boletimtec #a #violação #de #dados #de #redes #palo #alto #expõe #informações #do #cliente, #casos #de #suporte
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário