Atacantes accedieron a datos mediante Salesforce
La intrusión comenzó con la explotación de tokens OAuth robados durante un incidente relacionado con Salesloft Drift. Gracias a esos accesos, los atacantes lograron entrar al sistema CRM Salesforce de Palo Alto Networks y extraer información sensible.
Entre los datos filtrados se encuentran detalles de contacto empresarial, información interna sobre cuentas de ventas y datos básicos de casos de soporte abiertos por clientes. Los ciberdelincuentes fueron más allá, buscando en los tickets de soporte datos especialmente sensibles como tokens de autenticación, contraseñas y secretos en la nube. Su objetivo: comprometer otros servicios en la nube aprovechando esa información.
La compañía asegura que la intrusión solo afectó contenidos almacenados en Salesforce. Ni los productos ni los sistemas principales de Palo Alto Networks se vieron comprometidos, aunque la preocupación entre clientes aumentó al descubrir la exposición de información crítica compartida en los tickets de soporte.
El equipo de inteligencia de amenazas de Google identificó el ataque como parte de la campaña UNC6395, una ofensiva mayor que ya impactó a cientos de empresas en un claro ejemplo del riesgo creciente por el abuso de tokens de autenticación en plataformas SaaS.
El incidente deja claro el peligro que supone delegar accesos a servicios externos. Fortalecer la seguridad y supervisión es cada vez más urgente en el panorama actual.
Atacantes accedieron a datos mediante Salesforce
La intrusión comenzó con la explotación de tokens OAuth robados durante un incidente relacionado con Salesloft Drift. Gracias a esos accesos, los atacantes lograron entrar al sistema CRM Salesforce de Palo Alto Networks y extraer información sensible.
Entre los datos filtrados se encuentran detalles de contacto empresarial, información interna sobre cuentas de ventas y datos básicos de casos de soporte abiertos por clientes. Los ciberdelincuentes fueron más allá, buscando en los tickets de soporte datos especialmente sensibles como tokens de autenticación, contraseñas y secretos en la nube. Su objetivo: comprometer otros servicios en la nube aprovechando esa información.
La compañía asegura que la intrusión solo afectó contenidos almacenados en Salesforce. Ni los productos ni los sistemas principales de Palo Alto Networks se vieron comprometidos, aunque la preocupación entre clientes aumentó al descubrir la exposición de información crítica compartida en los tickets de soporte.
El equipo de inteligencia de amenazas de Google identificó el ataque como parte de la campaña UNC6395, una ofensiva mayor que ya impactó a cientos de empresas en un claro ejemplo del riesgo creciente por el abuso de tokens de autenticación en plataformas SaaS.
El incidente deja claro el peligro que supone delegar accesos a servicios externos. Fortalecer la seguridad y supervisión es cada vez más urgente en el panorama actual.
