Salesloft, platform otomasi penjualan berbasis cloud, mengonfirmasi bahwa mereka menjadi korban pelanggaran keamanan siber yang memungkinkan pelaku ancaman mencuri token OAuth, yang kemudian digunakan untuk mengakses dan mencuri data dari akun Salesforce milik pelanggan.
Insiden ini menambah daftar panjang serangan rantai pasokan (supply chain attacks) yang menargetkan platform SaaS terintegrasi.
Modus Serangan: Manfaatkan Integrasi OAuth
Menurut investigasi awal, penyerang berhasil mengeksploitasi celah dalam sistem Salesloft dan memperoleh akses ke token OAuth 2.0, yang biasanya digunakan untuk memberikan izin akses aman antara aplikasi pihak ketiga (seperti Salesloft) dan platform utama (dalam hal ini, Salesforce).
Dengan token ini, pelaku tidak memerlukan kredensial langsung pengguna. Mereka bisa:
- Mengakses data Salesforce yang terhubung
- Menyalahgunakan izin API yang telah disetujui sebelumnya
- Mengekstrak informasi pelanggan, aktivitas penjualan, dan data sensitif lainnya
Salesloft menyebut bahwa pelanggaran tersebut berdampak terbatas, namun tidak menutup kemungkinan bahwa sejumlah akun pelanggan telah disusupi secara tidak sah.
Respon Keamanan dan Tindakan Mitigasi
Begitu mengetahui adanya akses tidak sah, Salesloft segera mencabut seluruh token OAuth aktif yang mungkin telah disalahgunakan dan bekerja sama dengan pelanggan untuk:
- Mengeluarkan ulang otorisasi koneksi Salesforce
- Memverifikasi integritas data dan log akses
- Memantau anomali aktivitas secara real-time
Salesloft juga menggandeng firma keamanan siber eksternal untuk melakukan audit forensik penuh, sekaligus memperkuat lapisan keamanan autentikasi aplikasi dan kontrol akses internal.
Risiko Supply Chain Semakin Nyata
Serangan ini mencerminkan risiko rantai pasokan digital, di mana pelaku menargetkan aplikasi terhubung sebagai celah untuk masuk ke sistem yang lebih besar. Karena banyak organisasi modern mengandalkan integrasi OAuth antar berbagai platform SaaS, satu titik lemah saja dapat membuka jalan bagi kompromi skala besar.
Pakar keamanan menyarankan perusahaan untuk:
- Secara rutin mereview koneksi OAuth aktif
- Menerapkan kontrol granular berbasis peran (RBAC)
- Menambahkan autentikasi multi-faktor (MFA) bahkan pada integrasi API
- Memantau API calls secara real-time untuk mendeteksi penyalahgunaan
Salesforce Tidak Terdampak Langsung
Salesforce dalam pernyataan terpisah menegaskan bahwa tidak ada kerentanan dalam sistem mereka, dan insiden ini sepenuhnya berasal dari penyalahgunaan token akses yang diberikan oleh aplikasi pihak ketiga, yakni Salesloft. Namun demikian, pengguna Salesforce yang memiliki integrasi aktif disarankan untuk meninjau ulang konfigurasi keamanan mereka.
Sumber: BleepingComputer