ФБР опублікувало попередження про дві активні кампанії кібератак, спрямовані на інстанси Salesforce: групи UNC6040 та UNC6395 використовують різні тактики для доступу до даних клієнтів. UNC6040 експлуатує скомпрометовані облікові дані, а UNC6395 – OAuth-токени з ланцюжків постачань, як у випадку з Salesloft Drift. Ці атаки призводять до крадіжки конфіденційної інформації, включаючи клієнтські бази та фінансові дані, без прямого злому Salesforce. Жертвами стають компанії з різних секторів, від ритейлу до фінансів.

За даними Cybersecurity Dive, кампанії тривають тижнями, з потенційним впливом на сотні організацій. Salesforce рекомендує перевірку токенів, моніторинг логів та впровадження MFA. Експерти зазначають, що це еволюція supply-chain атак: зловмисники не ламають платформу, а використовують довірені інтеграції. Вплив – витік даних, ransomware та шпигунство. У контексті зростання SaaS-рішень, як CRM, така загроза критична для бізнесу.

Компанії повинні сегментувати доступ, проводити регулярні аудити інтеграцій та використовувати інструменти на кшталт Okta для керування ідентифікацією. FBI надає індикатори компрометації (IoC) для швидкого виявлення. Ця новина підкреслює роль правоохоронців у протидії: співпраця з CISA посилює захист. Майбутнє: zero-trust моделі та AI-моніторинг. Цей інцидент – нагадування про ризики хмарних сервісів; профілактика важливіша за реакцію.