Datenleck durch Salesloft: Cloudflare, Palo Alto, Zscaler betroffen

Durch ein Sicherheitsproblem bei Salesloft Drift, einem Unternehmen, das etwa KI-Chatbots für Kunden bereitstellt, konnten Angreifer Zugriffstoken unter anderem auf Salesforce-Instanzen stehlen. Damit haben die Kriminellen aus der Gruppe UNC6395 in den zugreifbaren Systemen Kundendaten abgegriffen. Immer mehr betroffene Unternehmen melden sich. Darunter auch große und namhafte, neben Google etwa auch Cloudflare, Palo Alto oder Zscaler.

Zunächst ging Google damit an die Öffentlichkeit und legte am Wochenende nach, dass nicht nur die Salesloft-Drift-Salesforce-Integration betroffen ist, sondern auch andere Integrationen wie „Salesloft Drift Email“ OAuth-Token für Angreifer verfügbar machte, mit denen die unbefugt auf die Dienste zugreifen konnten. Inzwischen hat Salesloft die Token zurückgezogen, Betroffene müssen neue erstellen.

Viele Unternehmen betroffen

Cloudflare erklärt das Ausmaß des Datenlecks bei Salesforce in einem Blog-Beitrag. Demnach konnte im Wesentlichen auf Kunden-Kontaktinformationen und einfache Supportfall-Informationen zugegriffen werden. In einzelnen Fällen können die Support-Interaktionen jedoch Informationen zu Kundenkonfigurationen und sogar sensible Daten wie Zugriffstoken umfassen. Jedwede Information, die Kunden mit dem Cloudflare-Support in Salesforce geteilt haben, sollen Kunden als kompromittiert betrachten, erörtert Cloudflare. Zudem rät das Unternehmen, die Zugangsdaten zu erneuern. Bei der Analyse sind die Cloudflare-Analysten auf 104 API-Keys gestoßen, zu denen zwar keine verdächtigen Aktivitäten feststellbar waren, die aus Sicherheitsgründen jedoch rotiert wurden. Cloudflare-Infrastruktur sei bei dem Vorfall nicht kompromittiert worden.

Auch Palo Alto Networks zählt sich zu den Betroffenen und schreibt in einem Blog-Beitrag, dass das Experten-Team der Unit 42 den Vorfall untersucht hat. Dabei stellte sich heraus, dass der Vorfall ausschließlich auf die CRM-Plattform von Palo Alto beschränkt war. Keine Netzwerkprodukte oder Dienste seien betroffen. Abgezogene Daten könnten lediglich Geschäfts-Kontaktinformationen, interne Sales-Konten und rudimentäre Supportfall-Informationen von Kunden umfassen. Eine begrenzte Anzahl von Kunden wolle man kontaktieren, deren Daten möglicherweise exponiert waren.

Bereits am Dienstag wurde bekannt, dass Zscaler auch zu den Opfern gehört. Dem Zscaler-Blog zufolge haben Kriminelle mit kompromittierten Zugangstoken auch auf Salesforce-Instanzen des Unternehmens Zugriff erlangt und konnten dabei Kundendaten einsehen. Dazu gehören Namen, Geschäfts-E-Mail-Adressen, Job-Bezeichnungen, Telefonnummern, Informationen zum Aufenthaltsort, Daten zu lizenzierten Zscaler-Produkten und kommerzielle Informationen sowie Klartextinformationen zu bestimmten Supportfällen – immerhin ohne Anhänge, Dateien und Bilder.

Auch kleinere, weniger bekannte Unternehmen haben potenziellen Datenabfluss durch die Salesloft-Drift-Schwachstelle gemeldet. Dazu gehören etwa PagerDuty, SpyCloud oder Tanium. Es dürften sich noch zahlreiche weitere Unternehmen diesbezüglich bei ihren Kunden melden, potenziell sind Hunderte von den Vorfällen betroffen.

(dmk)