Salesloft сообщила, что в марте произошло взлом ее аккаунта на GitHub, в результате чего злоумышленники похитили токены аутентификации, которые позже были использованы в массовых атаках на нескольких крупных технологических клиентов компании.
Согласно данным внутреннего расследования, проведенного подразделением реагирования на инциденты Google Mandiant, хакеры (пока не установленные) получили доступ к аккаунту Salesloft на GitHub и в период с марта по июнь проводили разведывательные действия. Это позволило им загрузить «содержимое нескольких репозиториев, добавить гостевого пользователя и настроить рабочие процессы».
Хронология событий вызывает вопросы в отношении уровня безопасности компании, включая то, почему Salesloft потребовалось около шести месяцев для обнаружения вторжения. В компании заявили, что инцидент теперь «локализован».
После проникновения в аккаунт GitHub злоумышленники получили доступ к облачной среде Amazon Web Services платформы Drift (сервиса Salesloft для маркетинга с использованием ИИ и чат-ботов), что позволило им похитить OAuth-токены клиентов Drift. OAuth — это стандарт, позволяющий приложениям безопасно взаимодействовать друг с другом. Благодаря ему Drift интегрируется с такими платформами, как Salesforce, для общения с посетителями сайтов.
Похитив токены, злоумышленники скомпрометировали несколько клиентов Salesloft, включая Bugcrowd, Cloudflare, Google, Proofpoint, Palo Alto Networks и Tenable, а также другие компании (многие из которых, вероятно, еще не раскрыты).
Группа Threat Intelligence Group из Google в конце августа раскрыла детали атаки на цепочку поставок, связав ее с хакерской группировкой UNC6395.
Издания DataBreaches.net и Bleeping Computer ранее сообщали, что за атакой стоит группа ShinyHunters, которая, вероятно, пытается шантажировать жертв через закрытые каналы.
Получив доступ к токенам Salesloft, хакеры атаковали экземпляры Salesforce, похищая конфиденциальные данные из тикетов поддержки. «Основной целью злоумышленников был кража учетных данных, включая ключи доступа AWS, пароли и токены Snowflake», — заявила Salesloft 26 августа.
1 сентября компания сообщила, что интеграция с Salesforce восстановлена.
**КОНТАКТЫ**
Если у вас есть информация об этих утечках данных, вы можете безопасно связаться с Лоренцо Франчески-Биккьери (Lorenzo Franceschi-Bicchierai) через Signal (+1 917 257 1382), Telegram/Keybase (@lorenzofb) или почту ([lorenzo@techcrunch.com](mailto:lorenzo@techcrunch.com)). Также доступен SecureDrop TechCrunch: [https://techcrunch.com/got-a-tip/](https://techcrunch.com/got-a-tip/).
**TECHCRUNCH DISRUPT 2025**
Присоединяйтесь к 10 000+ лидеров технологий и венчурного капитала на юбилейном 20-м мероприятии Disrupt 2025. Среди спикеров — Netflix, Box, a16z, ElevenLabs, Wayve, Sequoia Capital, Элад Гил и другие. Успейте зарегистрироваться до 26 сентября, чтобы сэкономить до $668.
**Даты**: 27–29 октября 2025, Сан-Франциско.
**Регистрация**: [https://techcrunch.com/events/tc-disrupt-2025/](https://techcrunch.com/events/tc-disrupt-2025/).