Google, Salesloft Drift ihlalinin başlangıçta düşünüldüğünden daha büyük olduğunu bildirerek, saldırganların Salesforce örneklerinden veri çalmaya ek olarak az sayıda Google çalışma alanı e -posta hesaplarına erişmek için çalıntı OAuth jetonları kullandıkları konusunda uyarıyor.
Google, “GTIG tarafından belirlenen yeni bilgilere dayanarak, bu uzlaşmanın kapsamı Salesforce entegrasyonuna özel değildir ve diğer entegrasyonları etkiler,” diye uyarıyor Google.
“Artık tüm Salesloft Drift müşterilerine, sürüklenme platformunda depolanan veya sürüklenme platformuna bağlı olan tüm kimlik doğrulama jetonlarını potansiyel olarak tehlikeye atmalarını tavsiye ediyoruz.”
UNC6395 olarak Google Tehdit İstihbaratı (Mantiant) tarafından izlenen kampanya, ilk olarak 26 Ağustos’ta saldırganların Salesloft’un Salesforce ile Drift AI sohbet entegrasyonu için OAuth Tokens’i çaldıktan sonra açıklandı. Tehdit aktörleri bu jetonları, müşteriler, hesaplar, kullanıcılar ve fırsat tabloları da dahil olmak üzere Salesforce nesnelerine karşı sorgular yürüttükleri müşteri Salesforce örneklerine erişmek için kullandılar.
Bu veriler, saldırganların AWS erişim anahtarları, kar tanesi jetonları ve gelecekteki gasp için daha fazla bulut hesaplarını ihlal etmek için kullanılabilecek şifreler gibi hassas bilgiler için müşteri destek biletlerini ve mesajları taramasına izin verdi.
Bugün yayınlanan bir güncellemede Google, uzlaşmanın başlangıçta inanılandan daha önemli olduğunu ve Salesforce entegrasyonlarıyla sınırlı olmadığını doğruladı.
Soruşturma, “Drift e -posta” entegrasyonu için OAuth jetonlarının da tehlikeye atıldığını ve 9 Ağustos’ta, tehdit aktörleri, doğrudan Drift ile entegre edilmiş Google çalışma alanı hesaplarının “çok az sayıda” e -postasına erişmek için kullandı.
Google, bu alanlarda başka hiçbir hesabın etkilenmediğini ve Google çalışma alanından veya alfabenin kendisinden ödün verilmediğini vurguladı.
Çalınan jetonlar o zamandan beri iptal edildi ve müşteriler bilgilendirildi. Google ayrıca, ihlali araştırırken Salesloft Drift e -postası ile Google çalışma alanı arasındaki entegrasyonu devre dışı bıraktı.
Google şimdi tüm kuruluşları, platformda saklanan veya platformda saklanan her kimlik doğrulama belirtecini tedavi etmek için DRIFT kullanan tüm kuruluşları çağırıyor. Bu uyarı, müşterilere bu uygulamalar için kimlik bilgilerini iptal etmelerini ve döndürmelerini ve tüm bağlı sistemleri yetkisiz erişim belirtileri için araştırmalarını önerir.
Şirket ayrıca, sürüklenme örnekleriyle ilişkili tüm üçüncü taraf entegrasyonların gözden geçirilmesini, maruz kalan sırları aramanı ve tehlikeye girmeleri durumunda bulunan herhangi bir kimlik bilgilerini sıfırlamayı önermektedir.
Salesloft ayrıca, Salesforce’un bir soruşturma tamamlanana kadar Salesforce, Slack ve Pardot ile sürüklenme entegrasyonlarını devre dışı bıraktığını belirterek 28 Ağustos’ta danışmanlığını güncelledi.
Şirket şimdi bu soruşturmaya yardımcı olmak için maniant ve koalisyonla uğraştı.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.