Một vụ vi phạm dữ liệu bắt nguồn từ một vụ hack GitHub vào tháng 3 tại Salesloft, không bị phát hiện trong sáu tháng, đã dẫn đến việc đánh cắp các mã thông báo xác thực và sau đó là các vụ vi phạm dữ liệu ảnh hưởng đến một số khách hàng công nghệ lớn của họ, bao gồm Google, Cloudflare và Palo Alto Networks. Sự cố này nhấn mạnh những lỗ hổng nghiêm trọng trong chuỗi cung ứng phần mềm và đang thúc đẩy sự giám sát tăng cường trong toàn ngành công nghệ.

Mở đầu

Thị trường chứng khoán Hoa Kỳ đã tập trung lại vào các rủi ro an ninh mạng trong ngành Công nghệ sau khi Salesloft, một nhà cung cấp phần mềm lớn, tiết lộ một vụ vi phạm dữ liệu đáng kể. Vụ việc này, bắt nguồn từ việc tài khoản GitHub bị xâm nhập, đã dẫn đến việc dữ liệu nhạy cảm từ nhiều công ty 'Big Tech' sử dụng tích hợp của bên thứ ba của Salesloft bị rò rỉ, làm nổi bật các lỗ hổng phổ biến trong chuỗi cung ứng kỹ thuật số.

Chi tiết sự kiện

Salesloft xác nhận rằng tài khoản GitHub của họ đã bị một nhóm đe dọa tinh vi, được xác định là UNC6395 (còn được gọi là GRUB1 hoặc ShinyHunters), xâm nhập vào tháng 3 năm 2025. Vụ xâm nhập này không bị phát hiện trong khoảng sáu tháng. Trong khoảng thời gian này, kẻ tấn công đã truy cập vào môi trường ứng dụng của Salesloft, tải xuống các kho mã, thiết lập quyền truy cập liên tục thông qua tài khoản người dùng khách và thiết lập quy trình làm việc.

Giai đoạn quan trọng của cuộc tấn công liên quan đến việc kẻ tấn công chuyển hướng sang môi trường Amazon Web Services (AWS) của Drift. Tại đây, UNC6395 đã lấy được các mã thông báo OAuth liên quan đến các tích hợp khách hàng của Drift. Các mã thông báo bị đánh cắp này sau đó được sử dụng để truy cập và trích xuất một lượng lớn dữ liệu từ các phiên bản Salesforce của các công ty bị ảnh hưởng từ ngày 8 đến ngày 18 tháng 8 năm 2025. Hơn 700 tổ chức đã bị ảnh hưởng, bao gồm các tên tuổi nổi bật như Cloudflare, Google (GOOGL), Palo Alto Networks, Proofpoint, Tenable, Bugcrowd, PagerDuty, Zscaler, Qualys, Tanium, RubrikBeyondTrust.

Dữ liệu bị xâm phạm chủ yếu bao gồm thông tin CRM của Salesforce, bao gồm chi tiết liên hệ kinh doanh, hồ sơ tài khoản bán hàng và nội dung trường hợp hỗ trợ. Trong một số trường hợp, việc trích xuất đã mở rộng đến các bí mật có thể được nhúng như khóa API, thông tin xác thực đám mây (ví dụ: khóa truy cập AWS, mã thông báo Snowflake) và thông tin xác thực VPN. Ví dụ, Cloudflare báo cáo rằng khách hàng Salesforce của họ đã bị trích xuất vé hỗ trợ khách hàng và dữ liệu liên quan, dẫn đến việc xoay vòng phòng ngừa 104 mã thông báo API của Cloudflare. Google xác nhận quyền truy cập hạn chế vào một số lượng nhỏ tài khoản Gmail được liên kết với tích hợp Drift Email, nhanh chóng thu hồi các mã thông báo bị ảnh hưởng và vô hiệu hóa tích hợp.

Để đáp lại, SalesloftSalesforce đã hành động ngay lập tức, thu hồi tất cả các mã thông báo đang hoạt động cho ứng dụng Drift vào ngày 20 tháng 8, với việc Salesforce tạm thời xóa Drift khỏi AppExchange của mình trong khi chờ điều tra toàn diện. Salesloft đã thuê các công ty an ninh mạng Mandiant và Coalition để ứng phó sự cố.

Phân tích phản ứng thị trường

Vụ vi phạm này đã làm gia tăng tâm lý thị trường tiêu cực, đặc biệt đối với các công ty phụ thuộc vào các tích hợp của bên thứ ba, và đã khuếch đại tâm lý rủi ro trên toàn ngành Công nghệ. Mặc dù Salesloft là một thực thể tư nhân, sự cố này có tác động tài chính trực tiếp và gián tiếp đến các khách hàng niêm yết công khai của nó. Các công ty bị ảnh hưởng hiện đang phải đối mặt với các chi phí đáng kể, ngoài ngân sách liên quan đến ứng phó sự cố, điều tra pháp y, xoay vòng thông tin xác thực rộng rãi và các giao thức bảo mật nâng cao.

Salesforce (CRM), một nền tảng quan trọng bị ảnh hưởng bởi vụ vi phạm, đã trải qua biến động đáng kể. Cổ phiếu giảm 2,58% xuống còn 249,64 đô la. Sự sụt giảm này càng trở nên tồi tệ hơn do vụ vi phạm dữ liệu Salesloft Drift, đã làm gia tăng lo ngại về an ninh mạng trước báo cáo thu nhập của nó. Các nhà giao dịch quyền chọn đã thể hiện việc mua quyền chọn bán tích cực, báo hiệu kỳ vọng giảm giá hơn nữa. Ngành phần mềm ứng dụng rộng hơn cũng cho thấy sự yếu kém, với việc Microsoft (MSFT) giảm 1,03% trong ngày, nhấn mạnh những lo ngại rộng hơn trong ngành về rủi ro triển khai AI và các lỗ hổng an ninh mạng. Sự cố này cho thấy ngay cả các tư thế bảo mật nội bộ mạnh mẽ cũng có thể bị phá hoại bởi các lỗ hổng trong chuỗi cung ứng của bên thứ ba.

Bối cảnh và hàm ý rộng hơn

Vụ vi phạm Salesloft này đóng vai trò là một lời cảnh tỉnh quan trọng cho hệ sinh thái Web3 rộng lớn hơn và xu hướng áp dụng của doanh nghiệp, đặc biệt liên quan đến bảo mật của các nền tảng SaaS được kết nối. Nó thể hiện rõ ràng rằng các lỗ hổng trong một tích hợp của bên thứ ba duy nhất có thể tạo ra rủi ro hệ thống, dẫn đến việc trích xuất dữ liệu rộng rãi trên hàng trăm tổ chức.

"Sự cố này làm nổi bật nhu cầu cấp thiết phải tăng cường cảnh giác trong việc bảo mật các ứng dụng SaaS và các tích hợp của bên thứ ba khác, vì dữ liệu bị xâm phạm có thể được sử dụng để khởi động các cuộc tấn công bổ sung."

Sự kiện này nhấn mạnh một điểm mù dai dẳng trong bảo mật SaaS liên quan đến mã thông báo OAuth và các ứng dụng được kết nối. Nó có thể sẽ đẩy nhanh việc áp dụng các tiêu chuẩn bảo mật nghiêm ngặt hơn cho các nhà cung cấp bên thứ ba, tăng nhu cầu về các giải pháp quản lý danh tính và quyền truy cập mạnh mẽ, và đòi hỏi các quy trình thẩm định nghiêm ng ngặt hơn để mua sắm SaaS. Tâm lý nhà đầu tư có thể chuyển sang các công ty thể hiện khả năng bảo mật chuỗi cung ứng và ứng phó sự cố vượt trội, trong khi những công ty bị coi là có liên kết yếu trong chuỗi cung ứng kỹ thuật số của họ có thể phải đối mặt với sự giám sát chặt chẽ hơn và các điều chỉnh định giá tiềm năng. Sự cố này củng cố nhu cầu giám sát liên tục và phản ứng nhanh chóng đối với các tác nhân đe dọa tinh vi nhắm mục tiêu cụ thể vào các tích hợp doanh nghiệp với doanh nghiệp để đánh cắp dữ liệu rộng rãi.

Nhìn về phía trước

Hậu quả của vụ vi phạm Salesloft sẽ tiếp tục lan rộng trong ngành Công nghệ. Hiện nay, các công ty được khuyến khích ngay lập tức ngắt kết nối tất cả các kết nối Salesloft khỏi môi trường Salesforce của họ, gỡ cài đặt phần mềm liên quan và xoay vòng thông tin xác thực cho tất cả các ứng dụng và tích hợp của bên thứ ba được kết nối với Salesforce.

Trong những tuần và tháng tới, trọng tâm sẽ là triển khai rộng rãi các giao thức bảo mật nâng cao, bao gồm: thu hồi và xoay vòng thông tin xác thực, xem xét và kiểm toán nhật ký kỹ lưỡng để tìm hoạt động đáng ngờ, và xác thực lại cẩn thận các tích hợp chỉ sau khi nhà cung cấp đảm bảo an toàn. Hơn nữa, các công ty dự kiến sẽ triển khai xác thực đa yếu tố (MFA) và quyền truy cập ít đặc quyền nhất cho tất cả các tích hợp SaaS, cùng với việc áp dụng kiểm soát truy cập không tin cậy. Quản lý thông tin xác thực chủ động, với lịch trình xoay vòng thường xuyên cho tất cả các khóa API và bí mật, sẽ trở thành tiêu chuẩn. Sự cố này cũng sẽ thúc đẩy các tổ chức tiến hành các cuộc điều tra chi tiết hơn về tình hình bảo mật của các nhà cung cấp bên thứ ba của họ, định hình các chiến lược quản lý rủi ro nhà cung cấp trong tương lai trên toàn ngành.