Kebocoran Data Zscaler Akibat Kompromi Salesloft Drift Ungkap Informasi Pelanggan
Zscaler, perusahaan keamanan siber terkemuka, mengonfirmasi terjadinya insiden kebocoran data setelah pelaku ancaman berhasil mengakses lingkungan Salesforce mereka melalui kompromi aplikasi pihak ketiga, Salesloft Drift. Data pelanggan yang terpapar termasuk informasi kontak, lisensi produk, dan konten dari beberapa tiket dukungan teknis.
Serangan Rantai Pasokan: Titik Masuk dari Salesloft Drift
Insiden ini merupakan bagian dari serangan rantai pasokan yang lebih luas, di mana penyerang mencuri token OAuth dan refresh token dari Salesloft Drift, sebuah agen chat AI yang terintegrasi dengan Salesforce. Dengan kredensial tersebut, pelaku dapat masuk ke lingkungan Salesforce para pelanggan, termasuk milik Zscaler, dan mengambil data sensitif.
Zscaler menjelaskan dalam pernyataan resminya:
“Sebagai bagian dari kampanye ini, pelaku tidak sah mendapatkan akses ke kredensial Salesloft Drift milik pelanggan, termasuk Zscaler. Setelah peninjauan mendalam, kami memastikan bahwa akses tersebut memungkinkan akses terbatas ke sebagian data Salesforce kami.”
Jenis Data Pelanggan yang Terpapar
Informasi yang terungkap dalam insiden ini meliputi:
- Nama pelanggan
- Alamat email bisnis
- Jabatan
- Nomor telepon
- Informasi lokasi/regional
- Detail lisensi produk Zscaler
- Konten dari tiket dukungan tertentu
Meskipun begitu, Zscaler menegaskan bahwa tidak ada produk, layanan, maupun infrastruktur internal yang terdampak oleh kebocoran ini.
Tindakan Mitigasi yang Telah Diambil
Sebagai respon terhadap insiden ini, Zscaler telah:
- Menonaktifkan seluruh integrasi Salesloft Drift di Salesforce
- Merotasi token API lainnya sebagai tindakan pencegahan
- Memperkuat protokol autentikasi pelanggan saat menangani panggilan dukungan
- Melakukan investigasi menyeluruh untuk memahami cakupan serangan
Zscaler juga mengimbau seluruh pelanggannya agar tetap waspada terhadap potensi phishing dan serangan rekayasa sosial yang mungkin memanfaatkan data yang terungkap.
Pelaku Diduga: UNC6395 dan Dugaan Keterlibatan ShinyHunters
Menurut Google Threat Intelligence Group (GTIG), serangan ini diduga dilakukan oleh kelompok UNC6395, yang dikenal menargetkan sistem dukungan untuk mendapatkan kredensial seperti:
- Access key AWS (AKIA)
- Token akses Snowflake
- Password dan rahasia lainnya yang dibagikan melalui tiket support
GTIG juga mencatat bahwa pelaku menunjukkan tingkat keamanan operasional yang tinggi, termasuk menghapus query logs untuk menyembunyikan jejak, meskipun log utama masih dapat dianalisis untuk bukti kebocoran data.
Beberapa peneliti keamanan juga menyatakan adanya kemungkinan tumpang tindih antara kompromi Salesloft Drift dan serangan oleh kelompok pemerasan data ShinyHunters, yang belakangan ini dikenal menggunakan taktik social engineering melalui vishing (voice phishing) untuk menyusup ke lingkungan Salesforce perusahaan.
Dampak Lebar di Industri
Sejak insiden ini terungkap, beberapa organisasi besar yang diduga terdampak serangan serupa mencakup:
- Cisco
- Farmers Insurance
- Workday
- Adidas
- Qantas
- Allianz Life
- Louis Vuitton, Dior, dan Tiffany & Co. (anak usaha LVMH)
Google dan Salesforce kini telah menonaktifkan integrasi Drift secara sementara sambil menunggu hasil investigasi lebih lanjut.
Sumber: Zscaler, Google Threat Intelligence, BleepingComputer
