Cloudflare gần đây đã tiết lộ một vi phạm bảo mật làm lộ dữ liệu hỗ trợ khách hàng thông qua một tích hợp bên thứ ba bị xâm phạm. Sự cố này làm nổi bật mối lo ngại ngày càng tăng về các cuộc tấn công chuỗi cung ứng nhắm vào các tích hợp phần mềm doanh nghiệp với doanh nghiệp, ảnh hưởng đến hàng trăm tổ chức trên toàn thế giới.
Các Tổ chức Khác Bị Ảnh Hưởng:
- Zscaler
- Palo Alto Networks
- Ít nhất 700 nạn nhân được Google Threat Intelligence theo dõi
- Cuộc tấn công nhắm vào khách hàng Salesloft có tích hợp Salesforce
Chi tiết vi phạm và tác động đến khách hàng
Cuộc tấn công xảy ra từ ngày 9-17 tháng 8 năm 2023, khi các tác nhân đe dọa có được quyền truy cập vào phiên bản Salesforce của Cloudflare thông qua thông tin xác thực OAuth bị xâm phạm từ Salesloft , một nền tảng tương tác bán hàng. Vi phạm này đã làm lộ thông tin liên hệ của khách hàng, chi tiết các trường hợp hỗ trợ và có khả năng làm lộ dữ liệu nhạy cảm như token API mà khách hàng có thể đã chia sẻ trong các ticket hỗ trợ.
Cloudflare đã phát hiện 104 token API trong dữ liệu bị xâm phạm và chủ động xoay vòng tất cả chúng như một biện pháp phòng ngừa. Công ty nhấn mạnh rằng không có dịch vụ cốt lõi hoặc cơ sở hạ tầng nào của Cloudflare bị xâm phạm, giới hạn tác động chỉ ở dữ liệu hệ thống hỗ trợ khách hàng của họ.
Các loại dữ liệu bị xâm phạm:
- Thông tin liên hệ khách hàng (tên, email, số điện thoại)
- Tiêu đề và nội dung trao đổi của các case hỗ trợ
- Dữ liệu nhạy cảm có thể được chia sẻ trong các ticket hỗ trợ (API token, log, mật khẩu)
- 104 API token của Cloudflare đã được xác định và thay thế
Phản ứng của cộng đồng và vấn đề truy cập
Thông báo vi phạm đã gây ra cuộc thảo luận giữa người dùng về quyền truy cập dữ liệu và trách nhiệm của nhà cung cấp. Một số khách hàng bị ảnh hưởng đã báo cáo khó khăn trong việc truy cập lịch sử trường hợp hỗ trợ của họ để xem lại thông tin nào có thể đã bị lộ. Người dùng gói miễn phí đặc biệt gặp khó khăn trong việc truy cập hồ sơ hỗ trợ, mặc dù đã nhận được thông báo vi phạm.
Rõ ràng họ đã thất bại trong việc kiểm tra quy trình của mình trên từng loại tài khoản.
Một số người dùng lưu ý rằng phản ứng của Cloudflare nổi bật so với các vi phạm nhà cung cấp gần đây khác, khen ngợi dòng thời gian chi tiết của công ty và việc chấp nhận trách nhiệm cho các lựa chọn nhà cung cấp bên thứ ba của họ.
 |
|---|
| Hình minh họa này thể hiện tâm trạng nội tâm về những thách thức mà người dùng phải đối mặt khi truy cập dữ liệu của họ giữa vụ vi phạm, nhấn mạnh tầm quan trọng của trách nhiệm nhà cung cấp |
Chiến dịch tấn công chuỗi cung ứng rộng lớn hơn
Sự cố này là một phần của cuộc tấn công chuỗi cung ứng lớn hơn đã ảnh hưởng đến các công ty công nghệ lớn bao gồm Google , Zscaler và Palo Alto Networks . Nhóm Tình báo Mối đe dọa của Google đã theo dõi ít nhất 700 nạn nhân trong chiến dịch này, chứng minh tác động rộng rãi của việc nhắm vào các tích hợp phần mềm doanh nghiệp phổ biến.
Phương pháp tấn công liên quan đến việc xâm phạm hệ thống của Salesloft để đánh cắp thông tin xác thực OAuth , sau đó cung cấp quyền truy cập vào các hệ thống khách hàng được kết nối. Kỹ thuật này cho phép kẻ tấn công vi phạm nhiều tổ chức thông qua một vi phạm nhà cung cấp duy nhất, khiến nó trở thành mục tiêu hấp dẫn cho các tác nhân đe dọa tinh vi.
Dòng thời gian tấn công:
- 9 tháng 8, 2023: Các nỗ lực trinh sát ban đầu
- 12 tháng 8, 2023: Kẻ tấn công có được quyền truy cập thông qua thông tin đăng nhập Salesloft bị đánh cắp
- 13-14 tháng 8, 2023: Liệt kê dữ liệu và lập bản đồ môi trường
- 16-17 tháng 8, 2023: Đánh cắp dữ liệu cuối cùng
- 20 tháng 8, 2023: Salesloft thu hồi các kết nối OAuth
- 23 tháng 8, 2023: Cloudflare bắt đầu ứng phó sự cố
Khuyến nghị bảo mật và bài học kinh nghiệm
Cloudflare đã cung cấp các khuyến nghị bảo mật chi tiết cho các tổ chức để bảo vệ chống lại các cuộc tấn công tương tự. Các biện pháp chính bao gồm ngay lập tức ngắt kết nối các tích hợp Salesloft , xoay vòng tất cả thông tin xác thực ứng dụng bên thứ ba và triển khai lịch trình xoay vòng thông tin xác thực thường xuyên.
Công ty cũng nhấn mạnh tầm quan trọng của việc xem xét dữ liệu trường hợp hỗ trợ để tìm thông tin nhạy cảm và triển khai kiểm soát truy cập đặc quyền tối thiểu cho các tích hợp bên thứ ba. Giám sát nâng cao cho các mẫu truy cập dữ liệu bất thường và đăng nhập từ các vị trí không quen thuộc có thể giúp phát hiện sớm hơn các cuộc tấn công như vậy.
Sự cố này phục vụ như một lời nhắc nhở rằng ngay cả các công ty tập trung vào bảo mật vẫn dễ bị tổn thương trước các cuộc tấn công chuỗi cung ứng. Khi các doanh nghiệp ngày càng phụ thuộc vào các dịch vụ phần mềm kết nối với nhau, bảo mật của các nhà cung cấp bên thứ ba trở nên quan trọng như các biện pháp bảo mật nội bộ.
Tham khảo: The impact of the Salesloft Drift breach on Cloudflare and our customers