Selon BleepingComputer, Palo Alto Networks a confirmé avoir été victime d’une fuite de données via des tokens OAuth compromis provenant de l’incident Salesloft Drift, permettant à des attaquants d’accéder à son instance Salesforce. L’entreprise précise que l’impact est limité à son CRM Salesforce et n’affecte aucun produit, système ou service.

L’attaque, suivie par Google Threat Intelligence sous le nom UNC6395, a exploité des tokens OAuth volés pour réaliser une exfiltration de masse de données depuis les objets Salesforce Account, Contact, Case et Opportunity. Les acteurs ont utilisé des outils automatisés (user-agents observés: python-requests/2.32.4, Python/3.11 aiohttp/3.12.15, Salesforce-Multi-Org-Fetcher/1.0, Salesforce-CLI/1.0), ont supprimé des logs/queries pour masquer leurs traces et ont recouru à Tor pour obfusquer leur origine.

Palo Alto Networks indique que les données extraites concernaient principalement des coordonnées professionnelles, des informations de comptes, des enregistrements internes de ventes et des données basiques de tickets. Les attaquants ont ensuite scanné les données exfiltrées pour y trouver des identifiants/secrets (ex. clés d’accès AWS type AKIA, tokens Snowflake, chaînes de connexion VPN/SSO, mots-clés comme password, secret, key), susceptibles de permettre des pivots vers d’autres services cloud et des vols de données pour extorsion. L’entreprise a révoqué les tokens associés et tourné les secrets; les intégrations Drift ont été désactivées par Palo Alto Networks, Salesforce et Google.

Le billet rappelle que cette attaque de chaîne d’approvisionnement touche des centaines d’organisations, dont Zscaler et Google. En toile de fond, depuis le début de l’année, Salesforce est visé par des campagnes d’exfiltration liées au groupe d’extorsion ShinyHunters, souvent via vishing et applications OAuth malveillantes. Google souligne toutefois qu’aucun lien concluant n’est établi entre ces campagnes et l’incident Salesloft Drift. Palo Alto Networks recommande aux clients de Salesloft Drift d’enquêter sur les logs, d’auditer les intégrations, et de révoquer/rotater les clés et secrets.

IOC et TTP observés:

  • TTPs: abus de tokens OAuth, exfiltration de masse depuis les objets Salesforce (Account, Contact, Case, Opportunity), suppression de logs/queries (anti-forensics), usage de Tor, scanning automatisé des données pour récupérer des identifiants/secrets.
  • Outils/UA (IOCs techniques): python-requests/2.32.4; Python/3.11 aiohttp/3.12.15; Salesforce-Multi-Org-Fetcher/1.0; Salesforce-CLI/1.0.
  • Recherche de secrets: clés AWS (préfixe AKIA), tokens Snowflake, chaînes VPN/SSO, mots-clés password/secret/key.

Conclusion: article de presse spécialisé relatant un incident de sécurité et décrivant la campagne, les impacts, et les éléments techniques observés 🔎.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/palo-alto-networks-data-breach-exposes-customer-info-support-tickets/