Netcrook Logo
👤 NEONPALADIN
🗓️ 08 Sep 2025  

Tempesta nella Supply Chain: come una violazione di un’app di marketing ha scosso l’élite della cybersecurity

Integrazioni un tempo oscure sono diventate una voragine - esponendo le principali aziende di cybersecurity attraverso un singolo collegamento trascurato.

In breve

  • Tenable ha confermato una violazione dei dati collegata all’integrazione Salesloft Drift–Salesforce.
  • L’attacco fa parte di una campagna coordinata sulla supply chain che prende di mira diverse grandi aziende.
  • Le vittime includono Palo Alto Networks, Zscaler, Google, Cloudflare e PagerDuty, tra le altre.
  • I dati compromessi riguardano informazioni di contatto dei clienti e dettagli dei casi di supporto, non password o dati finanziari.
  • Tenable e altri hanno rapidamente revocato gli accessi, disabilitato le integrazioni e rafforzato il monitoraggio.

Quando il marketing incontra il caos: la scena si svela

Immagina un grattacielo scintillante - i suoi uffici chiusi a chiave, allarmi inseriti, guardie vigili - ma uno scivolo della posta dimenticato nel seminterrato è spalancato. Questo è lo schema della nuova ondata di attacchi informatici che scuote il mondo tech: una violazione non attraverso le porte principali, ma tramite uno strumento di marketing che collega silenziosamente i sistemi dietro le quinte.

All’inizio di settembre 2025, Tenable, azienda globale di cybersecurity, ha confermato pubblicamente una violazione che ha interessato alcuni dati dei clienti. Come riportato dalla Redazione RHC, l’incidente è stato ricondotto a un’operazione sofisticata che ha sfruttato l’integrazione tra Salesloft Drift (un’app di automazione marketing) e Salesforce, una piattaforma CRM ampiamente utilizzata. Questa “stretta di mano” tecnica tra le app, pensata per semplificare vendite e supporto, ha invece aperto una breccia attraverso cui gli aggressori si sono infiltrati.

L’effetto domino: non solo Tenable

L’attacco a Tenable non è un caso isolato. Nelle ultime settimane, una lista crescente di aziende di alto profilo - including i giganti della cybersecurity Palo Alto Networks e Zscaler, i leader del cloud Google e Cloudflare, e lo specialista di incident response PagerDuty - hanno tutte ammesso violazioni simili. Secondo il report originale di RHC e le successive conferme delle aziende, gli aggressori hanno sfruttato la stessa vulnerabilità nell’integrazione, accedendo a dati limitati dei clienti archiviati nelle istanze Salesforce.

Sebbene i dettagli sottratti non includano password o informazioni finanziarie sensibili, l’esposizione di dati di contatto e dei casi di supporto è inquietante - soprattutto quando proviene da aziende il cui core business è la sicurezza stessa.

Attacchi alla supply chain: un vecchio trucco, nuovi strumenti

Gli attacchi alla supply chain - dove gli hacker prendono di mira fornitori terzi o integrazioni per raggiungere il vero obiettivo - non sono una novità. La famigerata violazione SolarWinds del 2020, ad esempio, ha utilizzato un aggiornamento software per infiltrarsi nelle reti governative e aziendali di tutto il mondo. Ciò che è cambiato è il focus: oggi gli attaccanti sondano la rete di integrazioni SaaS (Software as a Service) che collega quasi tutti i sistemi aziendali moderni.

Come dettagliato nei report di Mandiant e Wired, questi tipi di attacchi sono in aumento perché sfruttano la fiducia: le aziende spesso concedono alle app integrate accessi di alto livello, dando per scontato che siano sicure. In questo caso, una volta all’interno delle app interconnesse, gli avversari hanno silenziosamente sottratto dati preziosi - come intercettatori che ascoltano attraverso le tubature dell’edificio.

Risposta e prospettive future

Tenable, insieme alle altre organizzazioni coinvolte, ha reagito rapidamente: revocando le credenziali compromesse, disabilitando l’integrazione Salesloft Drift e rafforzando la sicurezza degli ambienti Salesforce. Sono stati inoltre implementati gli indicatori di compromissione (IoC) condivisi da Salesforce e dagli esperti di sicurezza, e intensificato il monitoraggio continuo delle attività sospette.

La lezione più ampia è chiara. Man mano che le aziende collegano sempre più strumenti digitali, ogni nuova connessione deve essere attentamente valutata per i rischi nascosti. Nella corsa ad automatizzare e integrare, è fin troppo facile trascurare il modesto scivolo della posta - finché qualcuno non ci si infila dentro.

WIKICROOK

  • Supply Chain Attack: Un attacco alla supply chain è un attacco informatico che compromette fornitori di software o hardware affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
  • SaaS (Software as a Service): Il SaaS (Software as a Service) fornisce software basato su cloud online, consentendo agli utenti di accedere e gestire le app senza installazione o manutenzione locale.
  • Integrazione: L’integrazione collega diversi strumenti software, permettendo loro di condividere dati e lavorare insieme in modo fluido per operazioni di cybersecurity più efficaci.
  • Indicatori di compromissione (IoC): Gli indicatori di compromissione (IoC) sono indizi come nomi di file, IP o frammenti di codice che aiutano a rilevare se un sistema informatico è stato violato.
  • Salesforce: Salesforce è una delle principali piattaforme CRM basate su cloud per la gestione dei dati dei clienti, diventando spesso bersaglio di attacchi informatici a causa delle informazioni preziose che contiene.
NEONPALADIN NEONPALADIN
Cyber Resilience Engineer
← Back to news