เมื่อปลายเดือนสิงหาคม 2025 บริษัทด้านความปลอดภัยไซเบอร์ Mandiant เปิดเผยเหตุการณ์รั่วไหลข้อมูลที่เกี่ยวข้องกับแอป Drift หลังพบว่าแฮกเกอร์เจาะเข้าระบบ GitHub ของ Salesloft ตั้งแต่ช่วงมีนาคม – มิถุนายน 2025
สิ่งที่แฮกเกอร์ทำคือ
📂 ดาวน์โหลดข้อมูลจาก repo ส่วนตัว
👤 แอบเพิ่ม guest user และสร้าง workflow ใหม่
🕵️♂️ จากนั้นขยายการโจมตีไปยัง AWS ของ Drift
🔑 ขโมย OAuth Token ของลูกค้า Drift แล้วใช้เข้าถึงข้อมูลจากระบบที่เชื่อมต่อกับ Salesforce
ข้อมูลที่รั่วส่วนใหญ่คือ ชื่อ-อีเมล-เบอร์โทร-ตำแหน่งงาน ของผู้ใช้งานธุรกิจ ซึ่งถือว่ามีมูลค่าสูงสำหรับการฟิชชิ่งและแคมเปญหลอกลวง
📌 ข่าวนี้ยังเชื่อมโยงกับการโจมตีแบบ Supply Chain Attack ที่กระทบ Salesforce integrations หลายเจ้า โดย Mandiant ชี้ว่ามีกลุ่ม UNC6395 อยู่เบื้องหลัง ขณะที่กลุ่ม “Scattered Lapsus$ Hunters” ออกมาอ้างความรับผิดชอบ (แต่ยังไม่ได้รับการยืนยัน)
🔒 วิธีป้องกันที่องค์กรควรทำ
- ตรวจสอบสิทธิ์ GitHub / Cloud อย่างสม่ำเสมอ → ปิด user ที่ไม่รู้จักและยกเลิกสิทธิ์ที่ไม่จำเป็น
- รีวิวและจัดการ API & OAuth Token → หมดอายุหรือ rotate token อย่างต่อเนื่อง
- เฝ้าระวังการเชื่อมต่อ Third-party → ตรวจสอบว่า Integration ใดบ้างเข้าถึงข้อมูลสำคัญ
- ทำ Threat Hunting & Incident Response Plan → พร้อมรับมือถ้าเกิดเหตุจริง
- ฝึกอบรมพนักงาน → ให้รู้จักอีเมลปลอมและการโจมตีฟิชชิ่ง
About the Author
