吳明宜資安廠商包括 Huntress 、 Recorded Future 等相繼公布,其使用的市場分析雲端平台 Klue 發生資安事件,導致其 Salesforce 客戶資料遭駭客存取。
加拿大市場分析平台業者 Klue 可讓客戶將 CRM 系統與其平台整合,以提供市場分析洞見。該公司於 6 月 18 日公布,駭客在一週前發動網路攻擊,並自其後端系統竊取部分 Klue 客戶資料。
Klue 未透露受影響的客戶數量,但已有多家資安與企業軟體業者陸續證實受到波及,包括 Gong 、 Jamf 、 HackerOne 、 Insurity 、 OneTrust 、 Recorded Future 、 Snyk 、 Sprout Social 及 Tanium 。此外,密碼管理服務 LastPass 也表示,其 Salesforce CRM 執行個體中的部分客戶資料遭到存取,外洩資訊包括客戶名稱、電子郵件、實體地址及客戶支援工單內容。
根據 Klue 說明,攻擊事件發生於 6 月 11 日。駭客利用先前外洩的公司系統憑證存取 Klue 後端伺服器,執行未經授權的指令,並取得 Klue 客戶的 OAuth 權杖 (Token) 。這些憑證可讓 Klue 的 Battlecard App 直接存取 Salesforce 平台上的客戶執行個體。
事件發生後,Klue 已撤銷所有儲存的客戶 OAuth 權杖,並暫停與 Salesforce 、 HubSpot 、 SharePoint 、 Zoom 、 Gong 、 Chorus 、 Clari 、 Google Drive 及 Slack 等服務的整合。
根據資安業者 ReliaQuest 分析,駭客透過 Battlecard App 與 Salesforce 的整合功能,利用 Salesforce REST API 在 24 小時內下載多家 Klue 客戶的大量資料。其中,僅 15 分鐘內便密集執行近 500 次查詢,而整體資料外洩活動持續約 6 小時。
6 月 17 日,Salesforce 主動停用 Klue Battlecard App 整合功能,並表示偵測到該應用程式出現異常活動,可能導致部分客戶資料經由此整合遭到外洩。
網路犯罪組織 Icarus 宣稱對此次 Klue 事件負責,並揚言若未收到贖金,將於下週一公開竊得的資料。
類似事件並非首次發生。去年秋天,多家企業因使用 Salesloft Drift 與 Salesforce 整合時的 OAuth 權杖外洩,導致客戶資料及其他內部系統資訊遭駭客組織 ShinyHunters 竊取。該組織當時聲稱掌握 760 家企業、約 15 億筆 Salesforce 相關資料。
資料來源:SecurityWeek 、 TechCrunch
來源:SecurityWeek 、 Techcrunch