320/68 (IT) ประจำวันพุธที่ 3 กันยายน 2568
บริษัทความมั่นคงปลอดภัยไซเบอร์ Zscaler ออกแถลงการณ์เตือนว่าได้ประสบเหตุข้อมูลรั่วไหล (Data Breach) หลังกลุ่มผู้โจมตีสามารถเจาะเข้าถึง Salesforce Instance ของบริษัท และขโมยข้อมูลลูกค้า ที่อยู่ใน Support Cases โดยเหตุการณ์นี้มีความเกี่ยวข้องกับการถูกเจาะระบบของ Salesloft Drift ซึ่งเป็น AI Chat Agent ที่เชื่อมต่อกับ Salesforce และถูกใช้เป็นช่องทางในการขโมย OAuth และ Refresh Tokens เพื่อเข้าถึง Salesforce ของลูกค้า
Zscaler ระบุว่าข้อมูลที่ถูกเปิดเผยประกอบด้วย ชื่อ, อีเมลธุรกิจ, ตำแหน่งงาน, หมายเลขโทรศัพท์, รายละเอียดภูมิภาค/สถานที่, ข้อมูลด้านลิขสิทธิ์และการใช้งานผลิตภัณฑ์ของ Zscaler รวมถึงเนื้อหาบางส่วนจาก Support Cases อย่างไรก็ตาม บริษัทชี้แจงว่าเหตุการณ์ครั้งนี้ส่งผลกระทบเฉพาะ Salesforce Instance เท่านั้น ไม่กระทบต่อผลิตภัณฑ์ บริการ หรือโครงสร้างพื้นฐานหลัก ทั้งนี้ บริษัทยังไม่พบหลักฐานการนำข้อมูลไปใช้งาน แต่ได้แนะนำให้ลูกค้าระมัดระวังการโจมตีรูปแบบ Phishing และ Social Engineering ที่อาจอาศัยข้อมูลเหล่านี้เป็นช่องทาง ส่วนมาตรการตอบสนอง Zscaler ได้เพิกถอน Drift Integration ทั้งหมด, หมุนเวียน API Tokens และเสริมความเข้มงวดของกระบวนการยืนยันตัวตนเมื่อติดต่อฝ่ายสนับสนุนลูกค้า ขณะเดียวกัน Google Threat Intelligence Group (GTIG) เปิดเผยว่ากลุ่มผู้โจมตีที่อยู่เบื้องหลังเหตุการณ์นี้คือ UNC6395 ซึ่งมีพฤติกรรมมุ่งขโมย AWS Access Keys (AKIA), Passwords, Snowflake Access Tokens และ Secret อื่น ๆ โดยใช้วิธีลบ Query Jobs เพื่อลดโอกาสถูกตรวจจับ ทั้งนี้ เหตุการณ์ยังขยายผลกระทบไปถึง Drift Email ที่ใช้จัดการอีเมลและฐานข้อมูล CRM ซึ่ง Google และ Salesforce ได้ตัดการเชื่อมต่อ Drift ชั่วคราวเพื่อควบคุมความเสียหาย
นักวิจัยด้านความปลอดภัยยังชี้ว่าการโจมตีครั้งนี้มีความเชื่อมโยงกับกลุ่ม ShinyHunters ที่เคยโจมตี Salesforce มาแล้ว โดยใช้เทคนิค Voice Phishing (Vishing) หลอกพนักงานให้เชื่อมต่อ OAuth App ที่เป็นอันตรายเข้ากับ Salesforce Instance ขององค์กรเพื่อดาวน์โหลดฐานข้อมูลแล้วนำไปเรียกค่าไถ่ ทั้งนี้ นับตั้งแต่เดือนมิถุนายน 2025 เป็นต้นมา มีหลายองค์กรใหญ่ทั่วโลกได้รับผลกระทบจากเหตุการณ์ลักษณะเดียวกันนี้แล้ว
