Zscaler是一家总部位于美国加利福尼亚州的网络安全企业,成立于2008年,并于2018年在纳斯达克上市。其核心产品Zscaler Internet Access和Zscaler Private Access通过软件即服务(SaaS)模式为企业提供零信任架构的云安全解决方案,替代传统本地安全设备。截至2025年6月9日,公司市值超过466亿美元,服务覆盖全球8600多家企业客户和4700万用户,日均处理超5000亿笔安全事务。
近日,Zscaler发布公告称,其客户数据因Salesforce实例遭受供应链攻击而泄露,事件源头为第三方销售自动化平台Salesloft Drift。Zscaler在公告中表示:“未经授权的行为者获取了包括Zscaler在内客户的Salesloft Drift凭证”,这些凭证允许攻击者有限访问Zscaler Salesforce信息,包括姓名、商业邮箱、职位、电话号码、区域信息、Zscaler产品许可及部分支持案例内容。Zscaler强调,泄露仅限于Salesforce实例,并未影响Zscaler产品、服务或基础设施。
事件根源在于Salesloft Drift的供应链安全问题。Zscaler指出,攻击者通过社会工程手段(vishing)诱使员工将恶意OAuth应用与公司Salesforce实例关联,从而获得访问凭证。Salesloft Drift与Salesforce深度集成,使得一旦OAuth令牌被滥用,攻击者能够批量导出敏感数据。
事件发生后,Zscaler迅速采取多项补救措施,包括撤销所有Drift集成访问权限、轮换API令牌、加强客户支持身份验证、开展第三方供应商风险评估等。Salesloft已禁用与Salesforce受影响的集成,并委托Mandiant进行深入调查。Mandiant是一家专注于网络威胁情报与防御解决方案的美国网络安全公司,成立于2004年,曾参与调查多起国际重大网络安全事件,2022年被谷歌全资收购。
此外,Zscaler建议客户立即检查与Drift相关的所有第三方集成实例,撤销或更换凭证,并监控异常活动,以降低潜在威胁。Zscaler警告称,尽管当前尚未发现信息被滥用,但“客户应保持高度警惕,防范可能的网络钓鱼和社会工程攻击”。
Salesloft 也发布公告称,初步调查结果显示,威胁行为者的主要目标是窃取凭证,特别是AWS访问密钥、密码(口令)以及与Snowflake相关的访问令牌等敏感信息。Snowflake Inc是一家成立于美国特拉华州的云计算公司,2020年在纽交所上市,2025年第一季度营收达10.4亿美元。其云原生平台为数据工程、数据仓库等场景提供统一管理与分析服务,覆盖全球22个公共云区域,客户企业超过4000家。2024年,Snowflake曾经发生数据泄露事件,网络犯罪分子利用被盗的数据工程师账号窃取了数百家世界顶级公司的客户数据,包括Ticketmaster(全球性票务服务公司)的5.6亿条记录、Advance Auto Parts(知名汽车零部件销售商)的7900万条记录等。
此次事件凸显,即便是全球顶级网络安全公司,也难以完全规避第三方供应链攻击风险。Zscaler警告,“供应链攻击可能导致敏感数据大规模暴露,企业不能掉以轻心”。
在数字时代,没有谁能独善其身。真正的安全感,不是来自对巨头的盲目崇拜,而是把“供应链焦虑”转化为“内生安全力”——用更少的依赖、更强的身份、更透明的治理,把安全的主动权握在自己手里。
飞天诚信在身份认证领域深耕二十余年,构建了“云、端、芯”全链条自主知识产权技术体系。动态令牌认证系统成为业内首套实现“全栈安全二级”的动态令牌认证系统类产品。智能密码钥匙、智能IC卡、动态令牌三大品类身份认证终端产品均通过商用密码产品二级安全认证,率先实现身份认证终端“全品类+全二级”的行业“大满贯”。飞天诚信下属子公司宏思电子的HSC32C1安全芯片拥有国密二级证书并通过了AEC-Q100 Grade2车规认证。截至 2025年6月30日,飞天诚信及下属子公司已拥有计算机软件著作权登记证书二百余篇,授权并维持有效专利八百余篇。
“防钓鱼MFA”(Phishing-Resistant MFA)的概念来自美国CISA(Cybersecurity and Infrastructure Security Agency,网络安全与基础设施安全局)。FIDO是CISA认定的防钓鱼MFA之一。飞天诚信推出了一系列 Security Key产品,用户可以通过USB-A、USB-C接口、NFC或BLE接口将FIDO产品连接到电脑或手机,快速、安全地完成账号登录或单点登录。飞天诚信FIDO Security Key现已支持Google、AWS等众多在线服务。
供应链安全的“风”还会继续吹,但这一次,愿我们都能站稳脚跟,不再被“风”吹倒。从今天开始,关掉那些“僵尸授权”、卸载不再使用的第三方插件、给员工发一枚FIDO Security Key、让每一次登录都经过“物理确认”。当每一个节点都足够坚韧,整条链就不再是“阿喀琉斯之踵”,而是“铜墙铁壁”。
——THE END——
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...