338/69 (IT) ประจำวันอังคารที่ 23 มิถุนายน 2569
รายงานการโจมตีแบบ Supply Chain ที่มุ่งเป้าไปยังองค์กรที่ใช้งาน Salesforce โดยผู้โจมตีได้บุกรุกการเชื่อมต่อของแอปพลิเคชันบุคคลที่สามชื่อ Klue Battlecards เพื่อเข้าถึงและขโมยข้อมูลลูกค้า ทั้งนี้ Salesforce ได้ปิดโครงสร้างพื้นฐานการเชื่อมต่อของแอปดังกล่าวเมื่อวันที่ 17 มิถุนายน 2569 เพื่อหยุดการเข้าถึงโดยไม่ได้รับอนุญาต และชี้แจงว่าเหตุการณ์นี้จำกัดอยู่ที่การเชื่อมต่อของแอป Klue และไม่ได้เกิดจากช่องโหว่ในแพลตฟอร์ม Salesforce โดยตรง
จากการตรวจสอบของ Huntress พบว่าเหตุการณ์เริ่มต้นเมื่อวันที่ 11 มิถุนายน 2569 หลังผู้โจมตีเข้าถึงระบบ Backend ของ Klue โดยใช้ Credential สำหรับการทดสอบเดิมที่ไม่ได้ใช้งานแล้วแต่ยังคงเปิดใช้งานอยู่ จากนั้นได้ฝังโค้ดอันตรายเพื่อเก็บ OAuth Token ซึ่งเป็นโทเคนที่ใช้ให้แอปพลิเคชันแลกเปลี่ยนข้อมูลระหว่างกันโดยไม่ต้องเข้าสู่ระบบซ้ำ ส่งผลให้ผู้โจมตีสามารถหลบเลี่ยงมาตรการยืนยันตัวตนมาตรฐาน เช่น Multi-Factor Authentication ได้ ต่อมา ReliaQuest พบว่าผู้โจมตีใช้สคริปต์ Python อัตโนมัติผ่าน Salesforce REST API เพื่อดึงข้อมูลจำนวนมากภายในช่วงเวลาประมาณ 24 ชั่วโมง โดยมีการเรียกข้อมูลเกือบ 1,000 ครั้งภายในเวลาเพียง 15 นาที และพบการขโมยข้อมูลต่อเนื่องนานกว่า 6 ชั่วโมงในบางเครือข่าย
Klue ตรวจพบกิจกรรมผิดปกติเมื่อวันที่ 12 มิถุนายน และได้ปิดใช้งาน Token ที่ถูกบุกรุก รวมถึงระงับการเชื่อมต่อกับแอปพลิเคชันสำคัญอื่น เช่น HubSpot, Microsoft SharePoint, Zoom, Google Drive และ Slack เพื่อจำกัดผลกระทบ อย่างไรก็ตาม มีหลายบริษัทด้านเทคโนโลยีและความมั่นคงปลอดภัยยืนยันว่าข้อมูล Salesforce ของตนถูกคัดลอกในช่วงที่เกิดช่องโหว่ เช่น Huntress, Jamf, Recorded Future, Tanium, Gong, Insurity และ Sprout Social โดยข้อมูลที่ได้รับผลกระทบส่วนใหญ่เป็นข้อมูลเชิงพาณิชย์ เช่น รายชื่อติดต่อทางธุรกิจ ใบเสนอราคา อีเมล และข้อความด้านการขาย ขณะที่รหัสผ่านองค์กร ข้อมูลการชำระเงิน และข้อมูล Telemetry หลักของซอฟต์แวร์ไม่ได้รับผลกระทบ ทั้งนี้ Huntress ระบุว่ากลุ่ม Icarus ซึ่งเป็นกลุ่มเรียกค่าไถ่ใหม่ที่เริ่มมีความเคลื่อนไหวตั้งแต่เดือนเมษายน 2569 อาจอยู่เบื้องหลังแคมเปญนี้ และแนะนำให้องค์กรที่เกี่ยวข้องเพิกถอนและออก OAuth Grant รวมถึงรหัสผ่านที่เชื่อมโยงกับแพลตฟอร์ม Klue ใหม่โดยทันทีแหล่งข่าว : https://hackread.com/salesforce-disables-klue-integration-oauth-token-data/