Source: BleepingComputer (Sergiu Gatlan). L’article rapporte que Workiva a informé ses clients d’un vol de données limité via un CRM tiers, incident qui s’inscrit dans la récente série de brèches Salesforce attribuées au groupe d’extorsion ShinyHunters.
• Données touchées chez Workiva: noms, adresses e‑mail, numéros de téléphone et contenus de tickets de support. Workiva précise que sa plateforme et les données qu’elle héberge n’ont pas été accédées et que l’accès est venu via une application tierce connectée. L’entreprise met en garde contre un risque de spear‑phishing et rappelle ses canaux officiels de contact.
• Contexte Salesforce: BleepingComputer indique que l’incident s’insère dans une vague de brèches Salesforce. Cloudflare a récemment dû rotater 104 tokens de plateforme après un accès à son instance Salesforce (support/case management) à la mi‑août. Depuis le début de l’année, ShinyHunters cible des clients Salesforce par vishing 🎣, affectant notamment Google, Cisco, Allianz Life, Farmers Insurance, Workday, Qantas, Adidas et des maisons du groupe LVMH (Dior, Louis Vuitton, Tiffany & Co.).
• Nouvelle tactique: le groupe exploite désormais des tokens OAuth volés liés à l’intégration Drift AI de Salesloft avec Salesforce 🔑 pour accéder aux instances clients et extraire des informations sensibles (par ex. mots de passe, clés d’accès AWS, tokens Snowflake) à partir des messages et tickets de support. Cette méthode a aussi permis l’accès à un petit nombre de comptes Google Workspace.
• Impact élargi: des entreprises de cybersécurité ont vu leurs instances Salesforce compromises via cette méthode, dont Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Rubrik, Cato Networks et Palo Alto Networks. ⚠️
TTPs observées:
- Vishing ciblant les clients Salesforce
- Vol et abus de tokens OAuth (intégration Salesloft/Drift AI avec Salesforce)
- Exfiltration d’éléments sensibles depuis les tickets/messages de support
- Accès secondaire à un petit nombre de comptes Google Workspace
IOCs: non communiqués dans l’article.
Type d’article: article de presse spécialisé visant à informer sur un incident Workiva et la campagne plus large de brèches Salesforce attribuée à ShinyHunters.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/saas-giant-workiva-discloses-data-breach-after-salesforce-attack/