Интеграционен риск и компрометирани токени като входна точка

Нова вълна от кибератаки разкри критичен системен риск при използването на SaaS интеграции, след като доставчик на интеграционни услуги е бил компрометиран, а удостоверителни токени са попаднали в ръцете на атакуващи. Резултатът – координирана кампания за кражба на данни, засегнала над десет компании.

Snowflake потвърждава инциденти, но отрича пробив в собствената си инфраструктура

Основната цел на атаките се оказва платформата за облачни данни Snowflake. Компанията признава за „необичайна активност“ в ограничен брой клиентски акаунти, свързани с външна интеграция.

Ключов акцент:
Няма доказателства за уязвимост или компрометиране на самата инфраструктура на Snowflake – атаките са извършени чрез вече валидни токени.

В отговор на инцидента компанията:

• е стартирала незабавно разследване
• е блокирала потенциално засегнати акаунти
• е уведомила клиентите и е предоставила насоки за защита

Неуспешен опит за пробив в Salesforce чрез откраднати токени

Атакуващите са се опитали да използват същите компрометирани токени за достъп до данни в Salesforce, но опитът е бил засечен и блокиран навреме, благодарение на механизми за откриване, базирани на ИИ.

Този случай подчертава нарастващата роля на ИИ в ранното откриване на аномалии и предотвратяване на пробиви.

Следите водят към Anodot – възможен първоначален пробив

Според множество източници, атаките са свързани с инцидент в Anodot – компания за анализ на данни и откриване на аномалии, базирана на ИИ.

Anodot:

• използва машинно обучение за откриване на отклонения в бизнес и оперативни данни
• е придобита от Glassbox през ноември 2025 г.

Хипотеза с висока вероятност:
Атакуващите са имали продължителен достъп до интеграционната среда, което им е позволило да извлекат токени и да подготвят последващи атаки.

ShinyHunters поемат отговорност и започват изнудване

Киберпрестъпната група ShinyHunters е потвърдила, че стои зад атаките. Те твърдят, че:

• са компрометирали данни от десетки компании
• са действали координирано в рамките на един ден
• са започнали кампания за изнудване с искания за откуп

Ключов акцент:
Моделът „data theft + extortion“ се утвърждава като водеща стратегия, дори без използване на рансъмуер.

Засегнати компании и реакция на индустрията

Засега официално потвърждение има само от Payoneer, която заявява, че:

• е запозната с инцидента
• не е била засегната

Междувременно Google Threat Intelligence Group също следи случая, което подсказва за по-широк стратегически интерес и потенциална ескалация.

Kогато доверието в интеграции се превръща в уязвимост

Случаят ясно показва нова реалност:

• Сигурността вече не зависи само от основната платформа, а от цялата екосистема около нея
• Удостоверителните токени се превръщат в „златен ключ“ за атакуващите
• Shadow интеграции и недобре контролирани SaaS връзки разширяват атакуващата повърхност

Критичен извод:
Дори без директен пробив, компрометирана интеграция може да доведе до масови инциденти.

Какво трябва да направят организациите

• Ограничаване на валидността и обхвата на токените
• Прилагане на Zero Trust модел за интеграции
• Непрекъснат мониторинг на API активност
• Инвентаризация на всички външни SaaS връзки
• Внедряване на ИИ-базирано откриване на аномалии