Security

Salesloft: Pelanggaran GitHub Maret Berujung pada Serangan Pencurian Data Salesforce

September 9, 2025
1 minute read

Salesloft mengungkapkan bahwa peretasan terhadap akun GitHub internal mereka pada Maret 2025 menjadi pintu masuk bagi pencurian token OAuth Drift, yang kemudian dipakai dalam serangkaian serangan pencurian data Salesforce pada Agustus.

Latar Belakang Insiden

  • Salesloft → platform engagement penjualan populer.
  • Drift → alat marketing percakapan berbasis chatbot & otomatisasi yang terintegrasi dengan Salesforce.
  • Serangan → melibatkan geng ShinyHunters dan aktor ancaman yang mengklaim sebagai Scattered Spider, selain kelompok UNC6395 yang sebelumnya diatribusi Google TAG.

Kronologi Serangan

  1. Maret – Juni 2025
    • Peretas masuk ke lingkungan GitHub Salesloft.
    • Mengunduh kode dari beberapa repositori.
    • Membuat akun tamu dan alur kerja (workflow) jahat.
  2. Juni – Agustus 2025
    • Penyerang lakukan reconnaissance di lingkungan Salesloft & Drift.
    • Berlanjut ke pelanggaran AWS Drift, di mana token OAuth dicuri.
  3. Agustus 2025
    • Token digunakan untuk akses ke integrasi pelanggan (Salesforce, Google Workspace, dll.).
    • Fokus serangan → mencuri tiket dukungan Salesforce berisi kredensial, password, token AWS, dan akses Snowflake.

Dampak

Perusahaan besar yang terdampak termasuk:

  • Google
  • Cloudflare
  • Zscaler
  • Workiva
  • Tenable
  • JFrog
  • Bugcrowd
  • Proofpoint
  • Palo Alto Networks
  • (dan daftar ini terus bertambah)

Respon Salesloft

  • Rotasi kredensial & pemisahan (segmentation) infrastruktur Drift.
  • Pencarian ancaman (threat hunting) dengan bantuan Mandiant → tak ada indikasi foothold lanjutan.
  • Validasi forensik atas containment & segmentasi.
  • Restorasi integrasi Salesforce pada awal September, setelah sempat ditangguhkan.

Analisis

  • Vektor awal: celah di workflow GitHub (supply-chain attack klasik).
  • Tujuan utama: mencuri data rahasia dari support tickets (AWS keys, Snowflake tokens, dsb).
  • Skala: meluas ke ribuan tiket dukungan di Salesforce.
  • Pelajaran: pentingnya Trusted Publisher model, segmentasi ketat, dan validasi integrasi lintas cloud.
Tags
September 9, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button