Source: Zscaler (zscaler.com). Zscaler indique avoir été touché par une campagne visant Salesloft Drift, un SaaS marketing intégré à Salesforce, au cours de laquelle des jetons OAuth ont été dérobés, affectant un grand nombre de clients Salesforce.
Selon Zscaler, des acteurs non autorisés ont obtenu des identifiants Salesloft Drift de clients, y compris Zscaler, permettant un accès limité à certaines informations Salesforce de Zscaler. L’incident est circonscrit à Salesforce et n’implique aucun accès aux produits, services, systèmes ou infrastructures de Zscaler. Aucune preuve de mésusage des données n’a été constatée à ce stade.
Données potentiellement concernées (accès limité):
- Noms, adresses e‑mail professionnelles, intitulés de poste, numéros de téléphone, informations régionales/de localisation
- Informations de licences produits Zscaler et données commerciales
- Contenu en texte clair de certains tickets de support (sans pièces jointes, fichiers, ni images)
Mesures prises par Zscaler:
- Révocation de l’accès de Salesloft Drift aux données Salesforce de Zscaler
- Rotation d’autres jetons d’accès API par précaution
- Enquête conjointe approfondie avec Salesforce et renforcement des sauvegardes/protocoles
- Évaluation du risque fournisseurs tiers et renforcement de l’authentification côté support client pour réduire les risques de phishing
TTPs observés et IOCs:
- TTPs: Vol de jetons OAuth d’une application tierce intégrée à Salesforce, accès non autorisé via intégration SaaS, risque de phishing/social engineering lié aux coordonnées exposées
- IOCs: non communiqués
Cet article est une annonce d’incident visant à informer sur la portée de l’événement, les données potentiellement touchées et les actions de remédiation entreprises, tout en partageant des recommandations de vigilance aux clients.
🔗 Source originale : https://www.zscaler.com/blogs/company-news/salesloft-drift-supply-chain-incident-key-details-and-zscaler-s-response