Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un attacco informatico di vasta portata ha preso di mira l’azienda di sicurezza Zscaler, la quale ha ufficialmente confermato di essere stata vittima di una violazione nella catena di approvvigionamento. Questo attacco ha portato all’esposizione dei dati di contatto dei clienti a causa di credenziali Salesforce compromesse, collegate alla piattaforma di marketing Salesloft Drift. L’evento, reso pubblico il 31 agosto 2025, rappresenta il risultato di una campagna più vasta che ha avuto come obiettivo i token OAuth di Salesloft Drift, coinvolgendo oltre 700 organizzazioni a livello globale.
La violazione è dovuta a un attacco più ampio alla supply chain su Salesloft Drift, in cui gli autori della minaccia hanno rubato token OAuth e di aggiornamento. Questi token hanno concesso l’accesso non autorizzato alle istanze dei clienti Salesforce, consentendo l’esfiltrazione di informazioni sensibili. Nel suo avviso, Zscaler ha confermato che la sua istanza Salesforce era tra quelle interessate.
“Nell’ambito di questa campagna, soggetti non autorizzati hanno ottenuto l’accesso alle credenziali Salesloft Drift dei suoi clienti, tra cui Zscaler”, ha dichiarato l’azienda. “A seguito di un’analisi dettagliata, abbiamo stabilito che queste credenziali consentivano un accesso limitato ad alcuni dati Salesforce”.
Le informazioni esposte sono le seguenti:
La società Zscaler ha fatto sapere che la violazione dei dati ha riguardato esclusivamente il suo sistema Salesforce, escludendo quindi qualsiasi impatto su prodotti, infrastrutture o servizi offerti dalla stessa Zscaler. Nonostante ad oggi non siano emersi casi di abuso, la compagnia ha raccomandato ai propri clienti di rimanere vigili nei confronti di possibili tentativi di phishing o di ingegneria sociale che potrebbero sfruttare le informazioni trapelate.
Zscaler ha messo in atto una serie di misure di mitigazione per contenere l’incidente: sono state revocate tutte le integrazioni di Salesloft Drift con Salesforce, i token API sono stati ruotati per prevenire abusi futuri e, per ridurre i rischi legati all’ingegneria sociale, è stata introdotta un’autenticazione avanzata dei clienti durante le chiamate di supporto. L’azienda ha inoltre confermato che le indagini sull’accaduto restano in corso per identificare con precisione l’entità della compromissione e garantire la piena sicurezza delle integrazioni.
Google Threat Intelligence ha attribuito la compromissione di Drift al gruppo UNC6395, responsabile del furto di casi di supporto Salesforce con l’obiettivo di raccogliere credenziali, chiavi di accesso AWS, token Snowflake e altri dati sensibili. Secondo i ricercatori, gli attaccanti hanno dimostrato avanzate tattiche di sicurezza operativa, come la cancellazione dei processi di query per nascondere le proprie attività, anche se i log sono rimasti disponibili per le analisi forensi. La campagna, tuttavia, non si è limitata all’integrazione Drift–Salesforce: gli hacker hanno compromesso anche Drift Email, ottenendo l’accesso a dati di CRM e marketing automation, oltre a sfruttare token OAuth rubati per infiltrarsi negli account Google Workspace e leggere le email aziendali.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia