En mars, des pirates ont pénétré dans les environnements GitHub et AWS de Salesloft. La graine d’une série de grandes fuites de données de cet été était ainsi semée.
Google, Palo Alto, Zscaler, Cloudflare, Tenable et bien d’autres : la liste des entreprises touchées par une fuite de données cet été est longue. Les fuites de données n’ont pas de facteur commun : Salesloft Drift. Grâce à la plateforme populaire d’engagement commercial, les pirates ont réussi à pénétrer dans les environnements Salesforce des entreprises touchées.
La cause des fuites de données est désormais connue. Salesloft a d’abord été victime d’un piratage, selon une enquête de Mandiant, filiale de Google. Les attaquants ont d’abord pénétré dans un compte GitHub de l’entreprise.
De là, les pirates se sont déplacés vers l’environnement AWS, où ils ont réussi à obtenir des jetons d’authentification. Ils ont ainsi pu abuser de l’intégration entre Salesloft et les environnements Salesforce pour s’emparer des données des clients. Tout cela se serait produit « entre mars et juin », avec un pic de fuites de données atteint cet été.
Intégration rétablie
Salesloft annonce qu’elle a de nouveau la situation totalement sous contrôle. L’enquête a révélé qu’« aucune indication supplémentaire de compromission n’a été trouvée », ce qui rassure Salesloft quant au fait que les intrus ne sont plus présents sur ses systèmes internes.
Par conséquent, la connexion avec Salesforce peut être rétablie, après avoir été interrompue une fois que le nombre de signalements de fuites de données a atteint un sommet. Les clients sont invités à contacter le service clientèle pour synchroniser à nouveau leurs données.
Maillon faible
Cet incident illustre bien le danger des attaques dites de supply chain. Dans ce cas, les pirates informatiques pénètrent dans les systèmes par le maillon le plus faible, qui peut être un fournisseur. Dans ce cas, Salesforce d’une part, et des victimes comme Zscaler, Palo Alto et Google d’autre part, avaient bien mis de l’ordre dans leurs affaires.
Une erreur chez l’intermédiaire Salesloft Drift a rendu les attaques possibles. En Europe, la réglementation NIS2 accorde donc une grande attention à ces risques.