Palo Alto Networks confirma filtración de datos

Palo Alto Networks reconoció una violación de datos que expuso información de clientes y casos de soporte en su instancia de Salesforce, luego de que atacantes abusaran de tokens OAuth robados en el reciente ataque a la aplicación Salesloft Drift.

La compañía explicó que el incidente no afectó a sus productos ni servicios, sino que se limitó a su CRM. Los datos exfiltrados incluyen información de contacto, registros de cuentas y detalles de casos de soporte, aunque no archivos técnicos ni adjuntos.

Según un informe de su Unidad 42, los atacantes realizaron una extracción masiva de datos de Salesforce como cuentas, contactos, casos y oportunidades. Posteriormente, buscaron credenciales sensibles como claves de AWS, tokens de Snowflake, credenciales de VPN y cadenas relacionadas con contraseñas o secretos.

El grupo, rastreado por Google como UNC6395, usó herramientas automatizadas basadas en Python y ocultó su actividad mediante Tor, incluso eliminando consultas para dificultar la detección. Los investigadores advierten que las credenciales robadas podrían usarse para atacar otros servicios en la nube y facilitar campañas de extorsión.

Palo Alto Networks revocó los tokens comprometidos, rotó credenciales y alertó a los clientes. La empresa recomienda investigar integraciones de Drift, revisar registros en Salesforce, rotar claves de acceso y utilizar herramientas de análisis de repositorios.

El ataque forma parte de una campaña más amplia que también ha afectado a compañías como Zscaler y Google.

No olvides suscribirte a nuestro canal de YouTube y seguirnos a través de nuestras redes sociales (Facebook, X, LinkedIn e Instagram) para estar informado con las noticias más relevantes de tecnología y ciberseguridad. Adicionalmente, conocerás más detalles sobre todos los productos y/o servicios de ciberseguridad que ofrece Quanti para ti.