Security

Palo Alto Networks Alami Kebocoran Data Akibat Serangan Rantai Pasok

1 week ago
0 2 minutes read
Palo Alto Networks Alami Kebocoran Data Akibat Serangan Rantai Pasok
Palo Alto Networks Alami Kebocoran Data Akibat Serangan Rantai Pasok

Palo Alto Networks mengonfirmasi insiden kebocoran data yang mengekspos informasi pelanggan dan tiket dukungan, setelah pelaku memanfaatkan token OAuth yang dikompromikan dari insiden Salesloft Drift breach untuk mengakses sistem Salesforce milik perusahaan.

Perusahaan menyatakan bahwa mereka menjadi salah satu dari ratusan organisasi yang terdampak serangan rantai pasok yang terungkap pekan lalu. Dalam serangan tersebut, pelaku memanfaatkan token autentikasi untuk mencuri data. Kekhawatiran muncul dari pelanggan yang menduga informasi sensitif seperti detail IT dan kata sandi yang dibagikan melalui tiket dukungan ikut terekspos.

Palo Alto Networks menegaskan bahwa insiden ini terbatas pada sistem CRM Salesforce dan tidak memengaruhi produk, sistem, maupun layanan mereka. Data yang dicuri mencakup detail kontak bisnis, informasi akun penjualan internal, serta “data dasar kasus” dari tiket dukungan pelanggan.

Targetkan Data Sensitif di Salesforce

Kampanye serangan yang dilacak oleh Google Threat Intelligence sebagai UNC6395 ini secara khusus membidik tiket dukungan untuk menemukan data sensitif seperti token autentikasi, kata sandi, dan cloud secrets yang dapat digunakan untuk mengakses layanan cloud lain. Pelaku melakukan mass exfiltration dari berbagai objek Salesforce, termasuk Account, Contact, Case, dan Opportunity.

Setelah data berhasil diekstrak, pelaku memindai informasi tersebut untuk mencari kredensial seperti AWS access keys (AKIA), token Snowflake, string login VPN dan SSO, serta kata kunci seperti “password”, “secret”, atau “key”. Kredensial ini berpotensi digunakan untuk membobol platform cloud lain dan melakukan pencurian data untuk pemerasan.

Teknik dan Alat yang Digunakan

Pelaku memanfaatkan alat otomatis, termasuk yang bersifat custom, dengan user-agent seperti:

  • python-requests/2.32.4
  • Python/3.11 aiohttp/3.12.15
  • Salesforce-Multi-Org-Fetcher/1.0
  • Salesforce-CLI/1.0

Untuk menghindari deteksi, mereka menghapus log dan menggunakan jaringan Tor guna menyamarkan lokasi asal. Palo Alto Networks telah mencabut token terkait, merotasi kredensial, dan menonaktifkan integrasi Drift bersama Salesforce dan Google selama investigasi berlangsung.

Latar Belakang Serangan terhadap Salesforce

Sejak awal tahun, Salesforce menjadi target pencurian data oleh kelompok yang dikaitkan dengan ShinyHunters. Sebelumnya, metode yang digunakan adalah voice phishing (vishing) untuk menipu karyawan agar menghubungkan aplikasi OAuth berbahaya ke Salesforce perusahaan. Namun, dalam insiden Salesloft, pelaku langsung memanfaatkan token OAuth yang telah dicuri.

Sejumlah perusahaan besar dilaporkan terdampak serangan serupa, termasuk Google, Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life, serta merek-merek di bawah LVMH seperti Louis Vuitton, Dior, dan Tiffany & Co. Meski ada dugaan keterkaitan antara pelaku serangan Salesloft dan insiden sebelumnya, Google menyatakan belum ada bukti kuat yang mengonfirmasi hal tersebut.

Sumber: Palo Alto Networks

Tags
1 week ago
0 2 minutes read

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button