گوگل هشدار داد که نفوذ به Salesloft برخی از حسابهای Google Workspace را تحت تأثیر قرار داده است.
گوگل اعلام کرد که ابعاد نفوذ به Salesloft Drift گستردهتر از برآوردهای اولیه است و هشدار داد مهاجمان علاوه بر سرقت دادهها از Salesforce instances، از OAuth tokens سرقتشده نیز برای دسترسی به تعداد محدودی از حسابهای ایمیل در Google Workspace استفاده کردهاند.
گوگل در بیانیهای با استناد به اطلاعات جدید شناساییشده توسط GTIG هشدار داد:
«بر اساس دادههای تازه، دامنه این نفوذ محدود به یکپارچهسازی Salesforce با Salesloft Drift نیست و سایر یکپارچهسازیها را نیز تحت تأثیر قرار داده است.»
گوگل اکنون به تمامی مشتریان Salesloft Drift توصیه کرده است که تمامی authentication tokens ذخیرهشده در پلتفرم Drift یا متصل به آن را بهعنوان در معرض خطر در نظر بگیرند.
این کمپین که توسط Google Threat Intelligence (Mandiant) با شناسه UNC6395 رهگیری میشود، نخستینبار در تاریخ ۲۶ اوت افشا شد؛ پس از آنکه مهاجمان موفق به سرقت OAuth tokens مربوط به یکپارچهسازی Drift AI chat با Salesforce شدند. مهاجمان با استفاده از این توکنها به Salesforce instances مشتریان دسترسی یافته و کوئریهایی را بر روی Salesforce objects شامل جداول Cases، Accounts، Users و Opportunities اجرا کردند.
این دسترسی به مهاجمان امکان داد تا تیکتهای پشتیبانی و پیامهای مشتریان را برای یافتن دادههای حساس نظیر AWS access keys، Snowflake tokens و گذرواژهها بررسی کنند؛ اطلاعاتی که میتواند برای نفوذ به سایر حسابهای ابری و اجرای سناریوهای اخاذی در آینده مورد استفاده قرار گیرد.
در بهروزرسانی منتشرشده امروز، گوگل تأیید کرد که این نفوذ گستردهتر از تصور اولیه بوده و به یکپارچهسازیهای Salesforce محدود نمیشود. بررسیها نشان داد OAuth tokens مربوط به یکپارچهسازی Drift Email نیز به خطر افتاده است. مهاجمان در تاریخ ۹ اوت از این توکنها برای دسترسی به ایمیل تعداد «بسیار محدودی» از حسابهای Google Workspace که مستقیماً با Drift یکپارچه شده بودند، استفاده کردهاند.
گوگل تأکید کرد که هیچیک از دیگر حسابهای موجود در آن دامنهها تحت تأثیر قرار نگرفته و هیچ نشانهای از نفوذ به Google Workspace یا Alphabet وجود ندارد. تمامی توکنهای سرقتشده ابطال شده و به مشتریان اطلاعرسانی شده است. همچنین، گوگل یکپارچهسازی بین Salesloft Drift Email و Google Workspace را تا پایان بررسیها غیرفعال کرده است.
گوگل اکنون از تمامی سازمانهایی که از Drift استفاده میکنند میخواهد که همه authentication tokens ذخیرهشده یا متصل به این پلتفرم را در معرض خطر فرض کنند. این هشدار شامل ابطال و rotate credentials مربوط به آن اپلیکیشنها و بررسی تمامی سیستمهای متصل برای شواهد دسترسی غیرمجاز است. علاوه بر این، گوگل توصیه کرده است کلیه یکپارچهسازیهای شخصثالث مرتبط با Drift instances مورد بازبینی قرار گرفته و در صورت کشف exposed secrets، اعتبارنامهها بازنشانی شوند.
از سوی دیگر، Salesloft نیز در تاریخ ۲۸ اوت در اطلاعیهای اعلام کرد که Salesforce تا زمان تکمیل تحقیقات، تمامی یکپارچهسازیهای Drift با Salesforce، Slack و Pardot را غیرفعال کرده است. این شرکت همچنین همکاری با Mandiant و Coalition را برای پشتیبانی از روند تحقیقات آغاز کرده است.
