Salesloft anunció el martes que varias compañías recolectarán temporalmente las derivaciones fuera de línea en el «futuro muy cercano», ya que están atrapados en un ataque generalizado de la cadena de suministro que se dirige al software de marketing como un servicio, lo que resulta en un robo masivo de tokens certificados.
«Esto proporciona la ruta más rápida para revisar de manera exhaustiva las aplicaciones, construir una resistencia y seguridad adicionales dentro del sistema y llevar las aplicaciones a la funcionalidad completa», dijo la compañía. «Como resultado, el chatbot de deriva del sitio web del cliente no está disponible y no es accesible la deriva».
La compañía dijo que su máxima prioridad es garantizar la integridad y la seguridad del sistema y los datos del cliente, y está trabajando con el socio de ciberseguridad Mandiant y Coalition como parte de sus esfuerzos de respuesta a incidentes.
El desarrollo reveló que el Grupo de Inteligencia de Amenazos de Google (GTIG) y Mandiant habían venido a los tokens relacionados con los agentes de chat de inteligencia artificial (AI) robada, llamándolo una campaña generalizada de robo de datos que comprometió las instancias de la fuerza de ventas del cliente.
«Hasta el 8 de agosto de 2025, y al menos hasta el 18 de agosto de 2025, el actor apuntó a las instancias de los clientes de Salesforce a través de un token OAuth comprometido asociado con las aplicaciones de terceros de Salesloft Drift», dijo la compañía la semana pasada.
La actividad se atribuye a un clúster de amenazas llamado UNC6395 (también conocido como Grub1), y Google le dice a Hacker News que más de 700 organizaciones pueden haber sido potencialmente afectadas.
Inicialmente, se alegó que la exposición se limitaba a las integraciones entre SalesLoft y Salesforce, pero desde entonces ha quedado claro que la plataforma se integró con la deriva y podría verse comprometida. En esta etapa, es exactamente lo mismo que la forma en que los actores de amenaza obtuvieron acceso inicial a SalesLoft Drift.
El incidente llevó a Salesforce a deshabilitar temporalmente todas las integraciones de SalesLoft con Salesforce como precaución. Algunas de las compañías que han confirmado que se ven afectadas por la violación son:
«Creemos que este incidente no fue un evento aislado y que el actor de amenaza tenía la intención de cosechar calificaciones e información del cliente para futuros ataques», dijo Cloudflare.
«Dado que cientos de organizaciones se han visto afectadas a través de este compromiso de deriva, creemos que los actores de amenaza utilizarán esta información para lanzar ataques específicos a los clientes en todas las organizaciones afectadas».
Source link
