Palo Alto Networks ha confirmado que actores no autorizados lograron acceder a información contenida en sus instancias de Salesforce tras una brecha en una integración de terceros, específicamente con la plataforma Drift, adquirida por Salesloft. Esta brecha forma parte de una campaña más amplia dirigida contra organizaciones que utilizan integraciones de terceros en Salesforce.
Según la información publicada por el equipo de amenazas Unit 42 de Palo Alto Networks, se identificó un acceso no autorizado a datos dentro de su CRM Salesforce mediante el uso de tokens de autenticación OAuth comprometidos. Estos tokens estaban vinculados a la integración con Drift, una herramienta de chat y automatización conversacional, utilizada para facilitar la interacción con clientes potenciales y actuales.
Recursos Afectados
- Instancias de Salesforce de Palo Alto Networks
- Integración OAuth con Drift/Salesloft
- Datos comerciales no clasificados:
Información de contacto de clientes y prospectos
Casos de soporte no críticos.
Información relacionada con actividades de marketing y ventas
Recomendaciones
Para mitigar el riesgo, se recomienda aplicar las siguientes medidas:
- Revocar todos los tokens OAuth activos relacionados con integraciones de terceros como Drift.
- Revisar los permisos y alcances de las aplicaciones conectadas a Salesforce.
- Deshabilitar temporalmente integraciones no esenciales mientras se audita su seguridad.
- Notificar a los equipos de ventas y soporte para evitar compartir credenciales o datos sensibles a través de CRM o plataformas no cifradas.
- Aplicar principios de mínimo privilegio a las aplicaciones OAuth conectadas.
- Monitorizar logs de acceso en Salesforce en busca de patrones anómalos de comportamiento.
Referencias