Imaginez que vous fassiez confiance à un chatbot IA, comme Drift, pour optimiser vos interactions clients. Imaginez maintenant que ce bot devienne le tremplin permettant à des pirates d'infiltrer vos systèmes Salesforce. Ce scénario s'est produit pour des centaines d'organisations cet été.
À la mi-août, une vague de violations a ciblé les instances Salesforce via des jetons OAuth volés émis à SalesLoft–Drift l'intégration. L'attaque était liée à Chasseurs brillants, connu pour cibler les grandes entreprises, qui ont utilisé ces jetons pour siphonner discrètement des données, depuis les contacts clients et les journaux des cas d'assistance jusqu'aux informations d'identification et aux notes internes de plateformes comme Cloudflare, Palo Alto Networks, Zscaler, SpyCloud et autres.
Cette faille n'était pas un incident isolé, mais un signal d'alarme majeur. Elle a impacté les responsables de la cybersécurité de plusieurs fournisseurs. Google a signalé des pannes étendues aux entreprises concernées. Google Workspace Les comptes et les équipes de sécurité se sont efforcés de contrer une vague croissante de campagnes de phishing ciblées, de bourrage d'informations d'identification et d'attaques latérales.
Cette faille met en lumière une dure réalité : à mesure que les écosystèmes SaaS deviennent de plus en plus interconnectés, les organisations doivent savoir exactement où se trouvent les données sensibles et les informations d’identification. qui a accès, et comment les attaquants pourraient exploiter ces connexions.
Causes profondes de la violation de Salesloft Drift
1. Accès tiers de confiance sans surveillance
Les attaquants n’ont pas infiltré les systèmes par force brute ; ils ont utilisé des outils de Jetons OAuth Associés à l'intégration du chat SalesLoft–Drift, ces jetons ont agi comme des clés maîtresses pour les instances Salesforce de plus de 700 organisations, accordant un accès privilégié et non surveillé aux données critiques. Sans contrôle centralisé ni visibilité sur les applications tiercesLes organisations ne savaient pas en temps réel qui voyait quoi. Cette intégration fiable est devenue une vulnérabilité exploitée comme vecteur d'attaque.
2. Exfiltration massive de données non autorisée
Une fois à l'intérieur, les acteurs malveillants ont agi rapidement et efficacement. Ils ont exporté des données massives, notamment des comptes, des contacts, des dossiers et des opportunités, via API Bulk 2.0 de Salesforce en moins de trois minutes. Ils ont ensuite effacé activement les journaux de requêtes pour brouiller les pistes. Ce manuel démontre un haut degré d'automatisation et de discrétion, illustrant un modèle d'exfiltration en tant que service.
3. Reconnaissance lente des dommages
De nombreuses entreprises n'ont réalisé la faille qu'après la révocation des accès. Salesforce et SalesLoft ont dû désactiver complètement l'intégration et révoquer les jetons. C'est seulement à ce moment-là que la visibilité et les analyses des journaux ont commencé. À ce moment-là, les attaquants avaient déjà collecté des identifiants et des données sensibles, alimentant potentiellement de nouvelles attaques.
4. Manque d'informations sur l'accès post-incident
Même après la découverte de la faille, les organisations ont eu du mal à déterminer précisément quelles données avaient été volées, quels utilisateurs avaient été impactés et où les opérations de jetons avaient eu lieu. Sans cette visibilité et cette intelligence des données, le contrôle des dommages latéraux, comme la rotation des jetons, la notification des utilisateurs et le tri juridique, est lent et fragmenté.
Ce que les organisations devraient faire pour lutter contre ce type de violation
Les intégrations renforcent les plateformes SaaS, mais elles introduisent également de nouveaux risques. Pour réduire le risque d'une faille de sécurité comme celle de Salesloft-Drift, les équipes de sécurité doivent :
Renforcer la sécurité de l'intégration SaaS
Jetons OAuth et intégrations d'applications tierces représentent une surface d'attaque cachée. Les organisations doivent régulièrement vérifier quelles applications sont connectées à des plateformes comme Salesforce, évaluer les périmètres et les accès aux données qui leur sont accordés, et supprimer toute intégration inutile ou inactive.
Évaluer les capacités de sécurité des tiers
Vérification préalable rigoureuse des fournisseurs est tout aussi essentiel ; les entreprises doivent exiger des fournisseurs qu'ils suivent des pratiques de sécurité rigoureuses, se soumettent à des examens périodiques et fournissent des preuves de conformité aux normes reconnues telles que ISO 27001 ou SOC 2.
Améliorer la visibilité et la surveillance des données
Les violations de données passent souvent inaperçues pendant des semaines, car les organisations manquent de visibilité sur la manière dont les données sont consultées et transférées. Les entreprises devraient adopter découverte et surveillance automatisées des solutions qui cataloguent les flux de données entrants et sortants des plateformes SaaS, détectent les anomalies telles que les exportations de masse ou les requêtes non standard, et IA de l'ombre du drapeau ou l'utilisation non autorisée d'applications.
Appliquer des contrôles d'identité et d'accès stricts
Les attaques basées sur OAuth exploitent les faiblesses des contrôles d'accès. Pour atténuer ces risques, les organisations doivent mettre en œuvre Confiance zéro Principes en limitant l'accès en fonction du rôle, du contexte et de l'état de l'appareil. Les équipes de sécurité doivent configurer les jetons OAuth avec des politiques d'expiration, les renouveler fréquemment et les révoquer automatiquement en cas d'activité suspecte. L'authentification multifacteur (MFA) doit être obligatoire pour tous les comptes privilégiés, et l'authentification adaptative peut contribuer à bloquer l'accès depuis des emplacements ou des appareils inhabituels.
Renforcer la préparation à la réponse aux incidents
Les organisations doivent développer des manuels de réponse aux incidents sur mesure, spécifiquement adaptés aux plateformes SaaS telles que Salesforce, Slack et Google Workspace. Ces manuels doivent expliquer comment identifier les jetons OAuth compromis, contenir la violation et informer les parties prenantes concernées. L'automatisation de certaines parties de ce processus, comme les notifications de violation et la révocation des jetons, peut réduire encore les délais de réponse.
Minimiser l'exposition des données
Les principes de minimisation des données peuvent réduire considérablement l'impact d'une violation. En expurgeant ou en tokenisant les champs sensibles, en appliquant des règles strictes rétention En appliquant des politiques et en supprimant les données obsolètes ou en double, les organisations peuvent limiter le « rayon d’explosion » lorsqu’une intégration est compromise.
Construire une culture de sensibilisation
Les employés et les administrateurs doivent être formés à reconnaître les comportements suspects des applications, les campagnes de phishing visant à voler les jetons OAuth et les signes d'activité inhabituelle dans les environnements SaaS. Les équipes chargées de la confidentialité, de l'informatique, du juridique et de la sécurité doivent collaborer pour établir des politiques et des processus de gouvernance couvrant l'ensemble du cycle de vie des intégrations tierces et du partage de données.
Comment BigID transforme les leçons en action
La faille SalesLoft-Drift met en lumière un changement crucial : les outils d'IA et d'automatisation peuvent engendrer des risques d'échelle importants s'ils ne sont pas gérés. Il ne suffit plus de supposer que vos intégrations sont sécurisées ou que la révocation des jetons résout tout.
BigID offre confidentialité, sécurité et Gouvernance de l'IA Les dirigeants disposent d'une plateforme qui ne se contente pas de réagir : elle prédit, prévient et responsabilise, car la véritable résilience ne repose pas uniquement sur la défense, mais sur la compréhension de votre écosystème de données où qu'il circule.
BigID aide les organisations à combler ces lacunes en fournissant des renseignements et des contrôles qui transforment la posture de sécurité :
- Découvrir et classer : BigID analyse Salesforce et d'autres systèmes pour identifier les données sensibles (PII, secrets, mots de passe, informations d'identification, clés API, journaux d'assistance) à travers des sources structurées et non structurées.
- Surveiller les risques d'intégration : Découvrez et évaluez les risques dans les applications tierces connectées à l’environnement Salesforce et à d’autres systèmes SaaS ayant accès à des données sensibles.
- Contrôle d'accès basé sur l'identité : Déployez une surveillance des accès tenant compte de l'identité pour détecter les connexions inhabituelles, les requêtes API en masse ou l'utilisation de jetons et remédier à la surexposition dans votre Salesforce et l'écosystème SaaS.
- Réduire la surface d’attaque : Réduisez les risques de violation et de sécurité de l'IA en supprimant les données redondantes, sensibles ou réglementées pour réduire l'impact d'une violation de données.
- Accélérer la réponse aux incidents : Fournissez des rapports transparents sur les données qui ont été exposées, où et qui y a accédé afin de répondre aux obligations réglementaires et de notification des clients.
Prêt à passer à l'action ? Préparez-vous aux futures menaces de données en réservant une démonstration individuelle avec nos experts.
Auteur
