-
09/04/2020
-
112
-
1.093 bài viết
22 doanh nghiệp bị ảnh hưởng sau vụ xâm nhập GitHub liên quan đến Drift
Salesloft vừa công bố một sự cố an ninh nghiêm trọng liên quan đến ứng dụng Drift bắt nguồn từ việc tài khoản GitHub của công ty bị xâm nhập. Vụ việc đã ảnh hưởng trực tiếp đến 22 doanh nghiệp, cho thấy mức độ nguy hiểm của các cuộc tấn công chuỗi cung ứng trong bối cảnh hệ thống tích hợp phần mềm ngày càng phức tạp.
Theo kết quả điều tra của Mandiant - đơn vị an ninh mạng thuộc Google, nhóm tấn công được theo dõi với mã định danh UNC6395 đã truy cập trái phép vào tài khoản GitHub của Salesloft từ tháng 3 đến tháng 6 năm 2025. Với quyền truy cập này, đối tượng đã tải xuống nội dung từ nhiều kho lưu trữ, thêm người dùng khách (guest user) và thiết lập các quy trình tự động.
Điều tra cũng phát hiện các hoạt động trinh sát trong môi trường ứng dụng Salesloft và Drift, nhưng chưa có bằng chứng cho thấy dữ liệu bị khai thác vượt ngoài giai đoạn này. Tuy nhiên, ở bước tiếp theo, kẻ tấn công đã xâm nhập vào hạ tầng Amazon Web Services (AWS) của Drift, chiếm đoạt token OAuth của khách hàng để truy cập dữ liệu thông qua các tích hợp Drift.
Trước tình hình đó, Salesloft đã cách ly hạ tầng và mã nguồn của Drift, đưa ứng dụng Drift ngoại tuyến từ ngày 5/9/2025 lúc 6 giờ sáng (ET), đồng thời tiến hành xoay vòng toàn bộ thông tin xác thực và tăng cường kiểm soát phân tách giữa ứng dụng Salesloft và Drift. Công ty cũng khuyến nghị tất cả các bên thứ ba đang tích hợp Drift bằng API key cần chủ động thu hồi và cấp lại khóa mới.
Ngày 7/9/2025, Salesforce đã khôi phục tích hợp với nền tảng Salesloft sau khi tạm ngừng từ 28/8 để đánh giá bảo mật. Tuy nhiên, ứng dụng Drift vẫn bị vô hiệu hóa cho đến khi có thông báo mới nhằm đảm bảo an toàn cho khách hàng.
Không chỉ là câu chuyện của riêng Salesloft hay Drift, sự cố lần này cho thấy bất cứ ai tham gia vào chuỗi cung ứng phần mềm đều có thể trở thành mắt xích yếu. Người dùng cuối, doanh nghiệp tích hợp hay nhà phát triển đều cần thay đổi thói quen: kiểm tra định kỳ, xoay vòng thông tin xác thực và cảnh giác với mọi bất thường vì an toàn không bắt đầu từ hệ thống mà từ chính sự chủ động của mỗi người.
Theo kết quả điều tra của Mandiant - đơn vị an ninh mạng thuộc Google, nhóm tấn công được theo dõi với mã định danh UNC6395 đã truy cập trái phép vào tài khoản GitHub của Salesloft từ tháng 3 đến tháng 6 năm 2025. Với quyền truy cập này, đối tượng đã tải xuống nội dung từ nhiều kho lưu trữ, thêm người dùng khách (guest user) và thiết lập các quy trình tự động.
Điều tra cũng phát hiện các hoạt động trinh sát trong môi trường ứng dụng Salesloft và Drift, nhưng chưa có bằng chứng cho thấy dữ liệu bị khai thác vượt ngoài giai đoạn này. Tuy nhiên, ở bước tiếp theo, kẻ tấn công đã xâm nhập vào hạ tầng Amazon Web Services (AWS) của Drift, chiếm đoạt token OAuth của khách hàng để truy cập dữ liệu thông qua các tích hợp Drift.
Trước tình hình đó, Salesloft đã cách ly hạ tầng và mã nguồn của Drift, đưa ứng dụng Drift ngoại tuyến từ ngày 5/9/2025 lúc 6 giờ sáng (ET), đồng thời tiến hành xoay vòng toàn bộ thông tin xác thực và tăng cường kiểm soát phân tách giữa ứng dụng Salesloft và Drift. Công ty cũng khuyến nghị tất cả các bên thứ ba đang tích hợp Drift bằng API key cần chủ động thu hồi và cấp lại khóa mới.
Ngày 7/9/2025, Salesforce đã khôi phục tích hợp với nền tảng Salesloft sau khi tạm ngừng từ 28/8 để đánh giá bảo mật. Tuy nhiên, ứng dụng Drift vẫn bị vô hiệu hóa cho đến khi có thông báo mới nhằm đảm bảo an toàn cho khách hàng.
Không chỉ là câu chuyện của riêng Salesloft hay Drift, sự cố lần này cho thấy bất cứ ai tham gia vào chuỗi cung ứng phần mềm đều có thể trở thành mắt xích yếu. Người dùng cuối, doanh nghiệp tích hợp hay nhà phát triển đều cần thay đổi thói quen: kiểm tra định kỳ, xoay vòng thông tin xác thực và cảnh giác với mọi bất thường vì an toàn không bắt đầu từ hệ thống mà từ chính sự chủ động của mỗi người.
Theo The Hacker News
Chỉnh sửa lần cuối: