Google, Salesloft Drift ile Salesforce örneklerini hedefleyen son saldırı dalgasının, daha önce düşündüğünden çok daha geniş olduğunu ve tüm entegrasyonları etkilediğini belirtti.
Google Tehdit İstihbarat Grubu (GTIG) ve Mantiant güncellenmiş bir danışmanda, “Şimdi tüm Salesloft Drift müşterilerine, Drift Platformunda depolanan veya sürüklenen tüm kimlik doğrulama jetonlarını potansiyel olarak tehlikeye atmalarını tavsiye ediyoruz.” Dedi.
Teknoloji devi, saldırganların “Drift E -posta” entegrasyonu için OAuth tokenlerinden ödün verdikten sonra 9 Ağustos 2025’te az sayıda Google çalışma alanı e -posta hesaplarından e -postaya erişmek için çalıntı OAuth jetonlarını kullandığını söyledi. Bunun Google çalışma alanının veya alfabenin kendisinin bir uzlaşması olmadığını belirtmek gerekir.
Google, “Potansiyel olarak erişilen tek hesap, Salesloft ile entegre edilecek şekilde yapılandırılmış olan hesaplardı; aktör, bir müşterinin çalışma alanı alanındaki başka hesaplara erişemezdi.”
Keşfin ardından Google, kullanıcıları etkilediğini, Drift e -posta uygulamasına verilen belirli OAuth jetonlarını iptal ettiğini ve olaya devam eden soruşturma ortasında Google Workspace ve Salesloft Drift arasındaki entegrasyon işlevini devre dışı bıraktığını söyledi.
Şirket ayrıca Salesloft Drift’i kullanan kuruluşları, sürüklenme örneğine bağlı tüm üçüncü taraf entegrasyonları gözden geçirmeye, bu uygulamalar için kimlik bilgilerini iptal etmeyi ve döndürmeyi ve tüm bağlı sistemleri yetkisiz erişim belirtileri için araştırmaya çağırıyor.
Saldırı yarıçapının genişletilmesi, Google’ın, UNC6395 olarak adlandırılan gelişmekte olan bir etkinlik kümesi olan tehdit aktörlerinin, 8-18 Ağustos tarihleri arasında SalesLoft Drift ile ilişkili SalesLoft Drift’le ilişkili tehlikeye atılmış OAuth tokenlerinden yararlanmasına izin veren yaygın ve fırsatçı bir veri hırsızlığı kampanyası olarak ortaya çıkmasından kısa bir süre sonra gelir.
Salesloft o zamandan beri Salesforce’un Salesforce, Slack ve Pardot arasındaki sürüklenme entegrasyonunu geçici olarak devre dışı bıraktığını, ancak yaklaşık üç saat sonra takip etmek için “Salesforce’un Salesforce ile tüm Salesloft entegrasyonlarını geçici olarak devre dışı bırakmayı seçtiğini” söyledi.
“Bugüne kadar soruşturmaya dayanarak, Salesloft entegrasyonlarında sürüklenme olayı ile ilgili kötü niyetli faaliyetlerin kanıtı yoktur.” “Ayrıca, şu anda, Salesloft entegrasyonlarının tehlikeye girdiğine veya risk altında olduğuna dair hiçbir belirti yok.”