SalesLoft a déclaré qu’une violation de son compte GitHub en mars a permis aux pirates de voler des jetons d’authentification qui ont ensuite été utilisés dans un hack de masse ciblant plusieurs de ses grands clients technologiques.
Citant une enquête de l’unité de réponse aux incidents de Google Mandiant, SalesLoft a déclaré sur sa page de violation de données que les pirates non encore inconnus avaient accédé à le compte GitHub de Salesloft et effectué des activités de reconnaissance de mars jusqu’à, ce qui leur a permis de télécharger «l’utilisateur invité et d’établir des workflows».
Le calendrier soulève de nouvelles questions sur la posture de sécurité de l’entreprise, notamment pourquoi il a fallu quelques mois SalesLoft pour détecter l’intrusion.
SalesLoft a déclaré que l’incident est désormais «contenu».
Contact américain
Avez-vous plus d’informations sur ces violations de données? À partir d’un dispositif non-travail, vous pouvez contacter Lorenzo Franceschi-Bicchiera en toute sécurité sur le signal à +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou e-mail. Vous pouvez également contacter TechCrunch via SecuredRop.
Après que les pirates aient cassé son compte GitHub, la société a déclaré que les pirates avaient accédé à l’environnement cloud des services Web d’Amazon de SalesLoft et à la plate-forme de marketing de Powred Chatbot Drift, ce qui leur a permis de voler des jetons OAuth pour les clients de Drift. OAuth est une norme qui permet aux utilisateurs d’autoriser une application ou un service à se connecter à un autre. En s’appuyant sur OAuth, Drift peut s’intégrer à des plateformes comme Salesforce et d’autres pour interagir avec les visiteurs du site Web.
En volant ces jetons, les acteurs de la menace ont violé plusieurs clients de Salesloft, tels que BugCrowd, CloudFlare, Google, Proofpoint, Palo Alto Networks et Tenable, entre autres, dont beaucoup sont probablement encore inconnus.
Le groupe de renseignements sur les menaces de Google a révélé la violation de la chaîne d’approvisionnement à la fin d’août, l’attribuant à un groupe de piratage qu’il appelle UNC6395.
Événement TechCrunch
San Francisco
|
27-29 octobre 2025
Cybersecurity Publications Databrecaches.net et Bleeping Computer rapportent précédemment que les pirates derrière la brèche sont le groupe de piratage prolifique réduit comme Shinyhuanters. Les pirates croyaient d’essayer d’extorquer la victime en les contactant au privilège.
En accédant aux jetons SalesLoft, les pirates accédaient ensuite aux instances Salesforce, où ils ont volé des données sensibles contenues dans les billets de support. « L’objectif principal de l’acteur était de voler des informations d’identification, en se concentrant spécifiquement sur des informations sensibles comme les clés d’accès, les mots de passe et les jetons d’accès liés aux flocons de neige », a déclaré Salesloft le 26 août.
SalesLoft a déclaré dimanche que son intégration avec Salesforce est désormais restaurée.
