330/68 (IT) ประจำวันอังคารที่ 9 กันยายน 2568
เมื่อวันที่ 28 สิงหาคม 2025 บริษัทความปลอดภัยไซเบอร์ Mandiant ได้ดำเนินการตรวจสอบเหตุการณ์การรั่วไหลของข้อมูล Drift Application ซึ่งพบว่าแฮกเกอร์สามารถเจาะเข้าสู่บัญชี GitHub ของ Salesloft ได้ในช่วง มีนาคม–มิถุนายน 2025 โดยดาวน์โหลดข้อมูลจาก private repositories เพิ่ม guest user และสร้าง workflow ใหม่ ในระบบ จากนั้นผู้โจมตีก็เปลี่ยนเป้าหมายมายัง AWS environment ของ Drift และขโมย OAuth Tokens ของลูกค้า Drift ไปใช้เข้าถึงข้อมูลผ่านแพลตฟอร์มที่ผูกกับ Salesforce
Salesloft ระบุว่าหลังตรวจพบเหตุการณ์ ได้ดำเนินการเร่งด่วนเพื่อควบคุมสถานการณ์ทันที เช่น การหมุนเวียน Credentials ที่เกี่ยวข้อง, เพิกถอน Drift Integration, แยกการทำงานของ Drift Application โครงสร้างพื้นฐานออกจากระบบหลัก และทำ Threat Hunting เชิงรุก ซึ่งไม่พบการบุกรุกเพิ่มเติม ขณะเดียวกัน Mandiant ยืนยันว่าระบบหลักของ Salesloft ถูกกระทบเพียงในลักษณะ Reconnaissance Activity และไม่ได้ถูกเจาะ
Google Threat Intelligence Group (GTIG) และ Mandiant เปิดเผยว่าแคมเปญนี้เป็นส่วนหนึ่งของการโจมตีแบบ Supply Chain ขนาดใหญ่ที่มุ่งเป้า Salesforce Integrations ของหลายบริษัท โดยข้อมูลที่ถูกขโมยส่วนใหญ่เป็น Business Contact Information เช่น ชื่อ, อีเมล, เบอร์โทรศัพท์ และตำแหน่งงาน ปัจจุบันการสืบสวนยังดำเนินต่อ โดย GTIG ได้เชื่อมโยงกลุ่ม UNC6395 ว่าเกี่ยวข้องกับแคมเปญดังกล่าว ขณะที่กลุ่ม “Scattered Lapsus$ Hunters” ออกมาอ้างความรับผิดชอบ แต่ยังไม่ได้รับการยืนยัน
แหล่งข่าว https://hackread.com/salesloft-drift-breach-github-compromise-oauth-tokens/