Securitybedrijf Zscaler erkent datalek na cyberaanval op derde partij

Het Amerikaanse cloudsecuritybedrijf Zscaler meldt dat het is getroffen door een datalek. Dit is het gevolg van een cyberaanval op Salesloft. Zscaler laat weten dat criminelen hierdoor mogelijk indirect toegang hadden tot klanteninformatie.

Het gaat volgens het bedrijf onder meer om namen, e-mailadressen, telefoonnummers en 'bepaalde ondersteuningsverzoeken' in plain text. Ook heeft Zscaler het over 'commerciële informatie'. Het is niet duidelijk wat hieronder valt. Volgens het beveiligingsbedrijf is er geen indicatie dat de informatie ook daadwerkelijk is gestolen of wordt misbruikt.

Uit voorzorg heeft Zscaler naar eigen zeggen de toegang van de AI-chatbot Salesloft Drift tot de systemen van het bedrijf ontzegd en api-tokens vervangen. Het bedrijf werkt daarnaast met Salesforce samen om verder te onderzoeken wat er gebeurd is. Dit bedrijf biedt een systeem voor customer relationship management aan dat Zscaler gebruikt. De cyberaanval trof de integratie van Salesloft Drift in het crm-systeem van Salesforce.

De eerste meldingen van de cyberaanval op Salesloft Drift kwamen op 20 augustus. Het is echter slechts een van de onderdelen van een bredere aanval op het veelgebruikte systeem van Salesforce, aldus Google Threat Intelligence. Met de cyberaanval op Drift wisten criminelen Open Authorization- en refreshtokens voor integratie in het Salesforce-ecosysteem te stelen om zo toegang te krijgen tot bedrijven die gebruikmaken van het crm-platform.

Door Yannick Spinner

Redacteur

Feedback • 02-09-2025 12:33
14 • submitter: Anonymoussaurus

02-09-2025 • 12:33

14

Submitter: Anonymoussaurus

Lees meer

Clinical Diagnostics-lek is groter dan gedacht, nog 230.000 deelnemers getroffen
Clinical Diagnostics-lek is groter dan gedacht, nog 230.000 deelnemers getroffen Nieuws van 29 augustus 2025
Nederlandse OM doet strafrechtelijk onderzoek na datalek medisch laboratorium
Nederlandse OM doet strafrechtelijk onderzoek na datalek medisch laboratorium Nieuws van 27 augustus 2025
Zscaler: 77 Google Play Store-apps zorgden voor 19 miljoen malwaredownloads
Zscaler: 77 Google Play Store-apps zorgden voor 19 miljoen malwaredownloads Nieuws van 26 augustus 2025
Zscaler haalt testomgeving offline maar ontkent slachtoffer van hack te zijn
Zscaler haalt testomgeving offline maar ontkent slachtoffer van hack te zijn Nieuws van 10 mei 2024
Meer producten en artikelen
Beveiliging en antivirus Cybercrime Datalek Zscaler

Reacties (14)

-Moderatie-faq
14
14
5
2
0
8
Wijzig sortering

Sorteer op:

Weergave:
gorgi_19 2 september 2025 12:44
Een beetje vaag omschreven. Maar Zscaler gebruikt dus Salesforce als CRM, en daarnaast gebruiken ze het Salesloft platform. Die twee kunnen met elkaar integreren.

Nu lijken oAuth credentials volgens Salesloft gebruikt te zijn om gegevens uit Salesforce te halen.
From August 8 to August 18, 2025, a threat actor used OAuth credentials to exfiltrate data from our customers’ Salesforce instances.
Verder claimt ZScaler dat ze proactief handelen, door api keys te roteren.
Echter, op 28 augustus had Salesforce de koppelingsmogelijkheid al verbroken:
We have received a notification from Salesforce that, as a precautionary measure, Salesforce has temporarily disabled the Drift integration between Salesforce, Slack, and Pardot.

[Reactie gewijzigd door gorgi_19 op 2 september 2025 12:47]

magic45 2 september 2025 13:00
Exclaimer is ook affected door hetzelfde issue bij Drift/SalesForce. Correspondentie hieromtrent is verstrekt aan partners.
Auredium 2 september 2025 13:01
Deze golf hacks is allemaal grotendeel begonnen met Salt Typhoon. Een hack die op zich weer het gevolg is van een Amerikaanse backdoor die misbruikt is geworden door de een aan China gelinkte groep. Nu zul je mij niet horen zeggen dat deze hack het gevolg is van 'die' hack maar sinds die tijd is het vaak raak. Inmiddels zijn de gegevens van zo ongeveer ieder persoon in de VS gelekt en in handen van hackers. (Ik bedoel dit bijna letterlijk).

Los daarvan lijkt dit een beetje een domino effect te zijn. Er wordt ergens iets aangevallen en met die hack wordt verder gehackt. In een wereld zoals de onze is bijna alles een onderdeel van de supply chain.

Ik verwacht nog wel meer hacks. Zeker met de VS zijn huidige tariffs war die China veel meer lijkt te raken dan het hele Rusland Oekraine conflict hun boeit (of juist niet boeit). Nu de VS inmiddels ook India tot vijand heeft gebombardeer vermoed ik dat het alleen maar erger wordt.
Stink_o 2 september 2025 19:29
Ook Cloudflare is geraakt, en heeft een uitgebreide blog geplaatst vandaag: https://blog.cloudflare.com/response-to-salesloft-drift-incident/'

En goed om te zien dat ze de hand in eigen boezem steken:
We are responsible for the tools that we select and when those tools are compromised by sophisticated threat actors, we own the consequences.

[..]

Our customers trust Cloudflare with their data, their infrastructure, and their security. In turn, we sometimes place our trust in third-party tools which need to be monitored and carefully scoped in what they can access. We are responsible for this. We let our customers down.

[Reactie gewijzigd door Stink_o op 2 september 2025 19:31]

O085105116N 2 september 2025 12:39
Lekkere datalekken! En nog 1 en nog 1, koop hier uw datalekken. Zelfs bedrijven die in digitale beveiliging zitten (diensten/producten) zijn niet veilig. Heerlijk. Alles ligt op straat, maar je bsn vernieuwen, dat kan niet.
TheProst @O085105116N2 september 2025 12:42
Dat is natuurlijk wel heel makkelijk gezegd. het bedrijf verzorgt inderdaad digitale beveiliging (diensten/producten) maar zijn dus voor andere software en diensten afhankelijk van andere partijen. Als het een lek vanuit hun eigen Zscaler was dan was het natuurlijk een ander verhaal, maar zoals de titel al zegt Na cyberaanval op derde partij. Het is bijna onmogelijk om 100% waterdicht te zijn tegen kwetbaarheden. Zolang je maar zoveel mogelijk afschermd om schade te beperken.

[Reactie gewijzigd door TheProst op 2 september 2025 12:44]

Orangelights23 @O085105116N2 september 2025 13:12
Daarom moet het hele systeem rondom BSN aangepast worden. Ik woon in Zweden en ik kan de Zweedse versie van het BSN gewoon opzoeken van mijn buren. Door verschillende authenticatievormen kan je niets met dat gegeven, ook niet in combinatie met andere NAW-gegevens.

Zover is Nederland nog niet, dus helaas zijn er nog verschillende vormen van fraude te verzinnen. De meest voorname is natuurlijk gerichte phishing.
downtime @Orangelights232 september 2025 13:45
Wat is er mis met "het hele systeem rondom BSN"? Het ontgaat me een beetje wat je met een BSN kunt. Het enige probleem lijkt mij wanneer bedrijven doen alsof BSN een geheime code is die je kunt gebruiken om klanten te identificeren. Dat kan natuurlijk niet want het is geen geheim.
Ootje70 @downtime2 september 2025 14:33
Je BSN in feitelijk wel een geheim gegeven. Dat moet je alleen wanneer het verplicht is prijsgeven. Als het dan gelekt wordt, kun je in combinatie met iemand andere NAW-gegevens opeens veel met dat identiteitsnummer. Want het wordt voor heel veel privacygevoelige zaken gebruikt wordt (verzekeringen, ziekenhuisgegevens, belastingzaken et cetera) en geacht geheim te zijn.
nicenemo @Ootje703 september 2025 08:17
Ik vind je opmerking over BSN een beetje of topic maar wel interessant om op te reageren.

Het BSN staat in plain text op de voor of achterkant van je houder pagina van je paspoort of op je id kaart. Bij oudere documenten lees je het makkelijk uit via de chip. bij nieuwere via de QR code . Er is niets versleuteld. Toegang tot de chip gaat via een hash op document nummer, geldigheids datum en geboorte datum . Dit voorkomt alleen op afstand uitlezen. Je vinger afdrukken en eventuele iris scan in de chip zijn wel versleuteld. Je vinger afdrukken zijn ook niet geheim. Je laat ze overal achter.

Het BSN is een nummer met 11 proof . Alle BSNs van Nederland genereren duurt niet zo langJe hoeft niet altijd te weten wie er bij een BSN hoort. Dat sommige BSNs nog niet in gebruik zijn of test BSNs zijn maakt voor een brute force attack niet uit.

Ik heb wel eens met de CISO van de gemeente Deventer aan tafel gezeten toen deze gemeente effectief een uittreksel BRP via email verstuurde.

Een zorginstelling vroeg in een kopietje paspoort van mijn moeder per email. Dit werd een gesprek met de directie. Mede omdat deze verzekeraar ook zorg gegeven van patiënten omtrent Covid extern gelekt had per email. Mijn vrouw was in de CC of email groep beland van verpleegkundigen. Deze gegevens hadden sowieso niet per email gemogen.

Een afhandelaar van mijn schade verzekeraar vroeg mij gisteren ter identificatie nog naar:
  1. geboorte datum
  2. postcode huis nummer
  3. voorletters /voornamen
Toen ik geïrriteerd aangaf dat hun bel robot dat 5 minuten geleden ook gevraagd had werd er ook nog gevraagd naar.
  1. laatste 4 cijfers bankrekening
Interessant, waarom deze extra vraag?

Dit zijn nu ook niet bepaald geheime gegevens. Ze zijn niet uniek in de relatie met mijn verzekeraar. Het enige wat uniek is, is mijn email adres voor deze verzekeraar.

Via het internet maakt de verzekeraar wel gebruik van iDIN.

Toen ik gisteren mijn bank belde met mijn mobiel vroegen ze mij om in de app van de bank te bevestigen dat ik belde. Ik was al ingelogd in de banking app. Ik had alleen handmatig het nummer gebeld en niet via de app. Dit helpt voornamelijk voorkomen dat scammers van de help desk die zich als mij proberen voor te doen.

[Reactie gewijzigd door nicenemo op 3 september 2025 08:24]

JerX 2 september 2025 13:18
Omdat dit een 3rd party integratie betreft zijn er meerdere bedrijven getroffen. Ik heb al van verschillende leverancier hier mail over gehad. Helaas doe je er weinig aan, houd je mail goed in de gaten en zet die spamfilters lekker strak!
Light21M 2 september 2025 14:17
Niet alleen Zscaler, Palo Alto heeft ook al melding gemaakt.
droba @Light21M2 september 2025 15:51
statement palo:

Dear Customer,

We are writing to provide you with important information regarding a recent security incident.

On Monday, August 25, we were informed that the compromise of a third-party application, Salesloft’s Drift, resulted in the access and exfiltration of data stored in our Salesforce environment. We immediately disconnected the application from our Salesforce instance and launched a full investigation, leveraging our Unit 42 team.

All Palo Alto Networks products and services remain secure, fully operational, and safe to use.

The investigation confirms that the event was isolated to our Salesforce environment and did not affect any Palo Alto Networks products, systems or services. The investigation further confirmed that the data involved includes primarily customer business contact information, such as names and contact info, company attributes, and basic customer support case information. It is important to note that no tech support files or attachments to any customer support cases were part of the exfiltration.

We take this incident seriously, and beyond this notification, we are reaching out to a limited number of customers who may have had commercially sensitive data exposed.

Your trust is paramount to us. Beyond the immediate steps we took to secure our systems, we are prioritizing the prevention of similar incidents in the future. Our Unit 42 team is also conducting enhanced, continuous monitoring of our systems and the dark web for any potential exposure or misuse of the exfiltrated data. Please see our Security Advisory on this issue and the Unit 42 Threat Brief.

If you have questions or require further information, please contact your account team or open a case through the customer support portal. Our team is ready to assist.

Sincerely,
nicenemo 3 september 2025 08:38
weet iemand of het KLM/Frying blue en Pandora datalek dat eerder gemeld werd hetzelfde probleem betreft?

nieuws: KLM meldt datalek waarbij namen en contactgegevens van klanten zijn buitgemaakt

KLM flying blue heeft zelf meerdere kwaliteits issues in de website/app. Een lek in de eigen software zal me ook niet verbazen.

Je kunt je registeren met jandevries+klm@exAmPle.com via de website.

Helaas accepteert de Flying Blue app dit plus teken niet. KLM stuurt wel vrolijk mail naar het adres met plus teken.

Voor notificaties van b.v. gate wijzigingen moet je een apart email adres opgeven. Waarom? dit email adres lijk aan andere regels te moeten voldoen. KLM maakt er een allcaps email adres van. Waarom? Wellicht een antiek systeem dat nog telex compatible is???

Het local part, het stuk voor de @ is volgens de standaard wel case sensitive. Ik heb Gemini de referenties even laten opzoeken:

RFC 5321 (Simple Mail Transfer Protocol): This RFC, which governs the protocol for sending emails, states in section 2.4 that the local-part of an email address (the part before the @ symbol) MUST be treated as case-sensitive.

RFC 5322 (Internet Message Format): This RFC defines the syntax for email messages. Section 3.4.1 details the address specification and its components, including the case-sensitive local-part.

[Reactie gewijzigd door nicenemo op 3 september 2025 08:47]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq