TH
TH
เกี่ยวกับเรา
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
ข่าว
เทคโนโลยีสารสนเทศ
ความปลอดภัยทางไซเบอร์

การละเมิดข้อมูล Cloudflare เปิดเผยข้อมูลลูกค้าผ่านการโจมตีผู้ให้บริการบุคคลที่สาม

ทีมชุมชน BigGo
การละเมิดข้อมูล Cloudflare เปิดเผยข้อมูลลูกค้าผ่านการโจมตีผู้ให้บริการบุคคลที่สาม

Cloudflare เมื่อเร็ว ๆ นี้ได้เปิดเผยเหตุการณ์การละเมิดความปลอดภัยที่ทำให้ข้อมูลการสนับสนุนลูกค้าถูกเปิดเผยผ่านการบูรณาการบุคคลที่สามที่ถูกโจมตี เหตุการณ์นี้เน้นย้ำถึงความกังวลที่เพิ่มขึ้นเกี่ยวกับการโจมตีห่วงโซ่อุปทานที่มุ่งเป้าไปที่การบูรณาการซอฟต์แวร์ธุรกิจต่อธุรกิจ ส่งผลกระทบต่อองค์กรหลายร้อยแห่งทั่วโลก

องค์กรอื่นที่ได้รับผลกระทบ:

  • Google
  • Zscaler
  • Palo Alto Networks
  • เหยื่อทั้งหมดอย่างน้อย 700 รายที่ติดตามโดย Google Threat Intelligence
  • การโจมตีมุ่งเป้าไปที่ลูกค้า Salesloft ที่มีการเชื่อมต่อกับ Salesforce

รายละเอียดการละเมิดและผลกระทบต่อลูกค้า

การโจมตีเกิดขึ้นระหว่างวันที่ 9-17 สิงหาคม 2023 เมื่อผู้โจมตีได้รับการเข้าถึง Salesforce instance ของ Cloudflare ผ่าน OAuth credentials ที่ถูกโจมตีจาก Salesloft ซึ่งเป็นแพลตฟอร์มการมีส่วนร่วมในการขาย การละเมิดนี้เปิดเผยข้อมูลการติดต่อของลูกค้า รายละเอียดกรณีการสนับสนุน และข้อมูลที่อาจมีความละเอียดอ่อนเช่น API tokens ที่ลูกค้าอาจแชร์ในตั๋วการสนับสนุน

Cloudflare ค้นพบ API tokens จำนวน 104 รายการในข้อมูลที่ถูกโจมตีและได้หมุนเวียนทั้งหมดเป็นการป้องกัน บริษัทเน้นย้ำว่าไม่มีบริการหลักหรือโครงสร้างพื้นฐานของ Cloudflare ถูกโจมตี จึงจำกัดผลกระทบให้อยู่เพียงข้อมูลระบบการสนับสนุนลูกค้าเท่านั้น

ประเภทข้อมูลที่ถูกบุกรุก:

  • ข้อมูลการติดต่อของลูกค้า (ชื่อ, อีเมล, หมายเลขโทรศัพท์)
  • หัวข้อและการติดต่อสื่อสารของเคสการสนับสนุน
  • ข้อมูลที่อาจมีความละเอียดอ่อนที่แชร์ในตั๋วการสนับสนุน ( API tokens , ไฟล์ log , รหัสผ่าน)
  • ระบุและหมุนเวียน API tokens ของ Cloudflare จำนวน 104 รายการ

การตอบสนองของชุมชนและปัญหาการเข้าถึงข้อมูล

การแจ้งเตือนการละเมิดได้จุดประกายการอภิปรายในหมู่ผู้ใช้เกี่ยวกับการเข้าถึงข้อมูลและความรับผิดชอบของผู้ให้บริการ ลูกค้าที่ได้รับผลกระทบหลายรายรายงานความยากลำบากในการเข้าถึงประวัติกรณีการสนับสนุนเพื่อตรวจสอบข้อมูลที่อาจถูกเปิดเผย ผู้ใช้แผนฟรีโดยเฉพาะประสบปัญหาในการเข้าถึงบันทึกการสนับสนุน แม้จะได้รับการแจ้งเตือนการละเมิด

พวกเขาล้มเหลวอย่างชัดเจนในการทดสอบกระบวนการของพวกเขาในแต่ละประเภทบัญชี

ผู้ใช้บางคนสังเกตว่าการตอบสนองของ Cloudflare โดดเด่นเมื่อเปรียบเทียบกับการละเมิดผู้ให้บริการอื่น ๆ ในช่วงเวลาที่ผ่านมา โดยชื่นชมไทม์ไลน์ที่ละเอียดของบริษัทและการยอมรับความรับผิดชอบสำหรับการเลือกผู้ให้บริการบุคคลที่สาม

ภาพประกอบนี้จับภาพบรรยากาศของการใคร่ครวญเกี่ยวกับความท้าทายที่ผู้ใช้ต้องเผชิญในการเข้าถึงข้อมูลของตนท่ามกลางการละเมิดข้อมูล โดยเน้นย้ำถึงความสำคัญของความรับผิดชอบของผู้ขาย
ภาพประกอบนี้จับภาพบรรยากาศของการใคร่ครวญเกี่ยวกับความท้าทายที่ผู้ใช้ต้องเผชิญในการเข้าถึงข้อมูลของตนท่ามกลางการละเมิดข้อมูล โดยเน้นย้ำถึงความสำคัญของความรับผิดชอบของผู้ขาย

แคมเปญการโจมตีห่วงโซ่อุปทานที่กว้างขึ้น

เหตุการณ์นี้เป็นส่วนหนึ่งของการโจมตีห่วงโซ่อุปทานที่ใหญ่กว่าที่ส่งผลกระทบต่อบริษัทเทคโนโลยีใหญ่ ๆ รวมถึง Google, Zscaler และ Palo Alto Networks กลุม Threat Intelligence ของ Google ติดตามเหยื่ออย่างน้อย 700 รายในแคมเปญนี้ แสดงให้เห็นถึงผลกระทบที่แพร่หลายของการมุ่งเป้าไปที่การบูรณาการซอฟต์แวร์ธุรกิจที่ได้รับความนิยม

วิธีการโจมตีเกี่ยวข้องกับการโจมตีระบบของ Salesloft เพื่อขโมย OAuth credentials ซึ่งจากนั้นให้การเข้าถึงระบบลูกค้าที่เชื่อมต่อ เทคนิคนี้ช่วยให้ผู้โจมตีสามารถละเมิดองค์กรหลายแห่งผ่านการโจมตีผู้ให้บริการเพียงรายเดียว ทำให้เป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตีที่มีความซับซ้อน

ไทม์ไลน์การโจมตี:

  • 9 สิงหาคม 2023: ความพยายามในการสำรวจข้อมูลเบื้องต้น
  • 12 สิงหาคม 2023: ผู้โจมตีได้รับการเข้าถึงผ่านข้อมูลประจำตัว Salesloft ที่ถูกขโมย
  • 13-14 สิงหาคม 2023: การระบุข้อมูลและการทำแผนที่สภาพแวดล้อม
  • 16-17 สิงหาคม 2023: การขโมยข้อมูลครั้งสุดท้าย
  • 20 สิงหาคม 2023: Salesloft เพิกถอนการเชื่อมต่อ OAuth
  • 23 สิงหาคม 2023: Cloudflare เริ่มการตอบสนองต่อเหตุการณ์

คำแนะนำด้านความปลอดภัยและบทเรียนที่ได้เรียนรู้

Cloudflare ให้คำแนะนำด้านความปลอดภัยที่ละเอียดสำหรับองค์กรเพื่อป้องกันการโจมตีที่คล้ายกัน มาตรการสำคัญรวมถึงการตัดการเชื่อมต่อการบูรณาการ Salesloft ทันที การหมุนเวียน credentials ของแอปพลิเคชันบุคคลที่สามทั้งหมด และการใช้ตารางการหมุนเวียน credentials อย่างสม่ำเสมอ

บริษัทยังเน้นย้ำถึงความสำคัญของการตรวจสอบข้อมูลกรณีการสนับสนุนสำหรับข้อมูลที่มีความละเอียดอ่อนและการใช้การควบคุมการเข้าถึงสิทธิ์น้อยที่สุดสำหรับการบูรณาการบุคคลที่สาม การตรวจสอบที่เพิ่มขึ้นสำหรับรูปแบบการเข้าถึงข้อมูลที่ผิดปกติและการเข้าสู่ระบบจากสถานที่ที่ไม่คุ้นเคยสามารถช่วยตรวจจับการโจมตีดังกล่าวได้เร็วขึ้น

เหตุการณ์นี้เป็นเครื่องเตือนใจว่าแม้แต่บริษัทที่มุ่งเน้นด้านความปลอดภัยยังคงมีความเสี่ยงต่อการโจมตีห่วงโซ่อุปทาน เมื่อธุรกิจพึ่งพาบริการซอฟต์แวร์ที่เชื่อมต่อกันมากขึ้น ความปลอดภัยของผู้ให้บริการบุคคลที่สามจึงมีความสำคัญเท่ากับมาตรการความปลอดภัยภายใน

อ้างอิง: The impact of the Salesloft Drift breach on Cloudflare and our customers

ข่าวที่เกี่ยวข้อง