팔로알토, OAuth 토큰 도난으로 인한 데이터 유출 조사 착수

팔로알토 네트웍스(NASDAQ:PANW)가 세일즈포스(NYSE:CRM) 시스템에서 세일즈로프트 드리프트 침해 사고로 유출된 OAuth 토큰이 해커들에 의해 악용된 데이터 유출 사고를 확인했다.
이번 공격으로 사업 연락처, 판매 기록, 지원 케이스 관련 코멘트가 유출됐으나, 제품이나 서비스, 내부 시스템은 침해되지 않은 것으로 나타났다.
블리핑 컴퓨터의 화요일 보도에 따르면, 이번 유출 사고는 구글 위협 인텔리전스팀이 UNC6395로 추적 중인 대규모 공급망 공격의 일환이다. 이 공격은 세일즈포스 환경을 타깃으로 아마존웹서비스(AWS) 키, VPN 로그인 정보, 스노우플레이크(NYSE:SNOW) 토큰과 같은 민감한 인증 정보를 탈취하는 것이 목적이었다.
공격자들은 맞춤형 파이썬 도구와 토르(Tor)를 이용한 은폐, 로그 삭제 기법으로 탐지를 회피했다.
팔로알토 네트웍스는 토큰을 폐기하고 인증 정보를 교체했으며 드리프트 연동을 비활성화했다. 또한 영향을 받은 모든 기업들에게 로그 조사, 연동 ............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................