Dabar „Google“ praneša, kad „SalesLoft Drift“ pažeidimas yra didesnis, nei iš pradžių manė, įspėjimas, kad užpuolikai taip pat naudojo pavogtus „OAuth“ žetonus, kad pasiektų nedidelį skaičių „Google Workspace“ el. Pašto paskyrų, be to, kad pavogė duomenis iš „Salesforce“ egzempliorių.
„Remiantis nauja GTIG nustatyta informacija, šio kompromiso taikymo sritis nėra išskirtinė„ Salesforce “integracijai su„ SalesLoft Drift “ir daro įtaką kitoms integracijoms“, – perspėja „Google“.
„Dabar mes patariame visiems„ SalesLoft Drift “klientams traktuoti visus ir visus autentifikavimo žetonus, saugomus ar sujungtus su ja, kaip potencialiai pažeista.”
Kampanija, kurią stebėjo „Google Gros“ intelektas („Mandiant“) kaip UNC6395, pirmą kartą buvo atskleista rugpjūčio 26 d., Po to, kai užpuolikai pavogė „OAuth“ žetonus „SalesLoft“ dreifo AI pokalbių integracijai su „Salesforce“. Grėsmės aktoriai šiems žetonams panaudojo prieigą prie klientų pardavėjų egzempliorių, kur jie vykdė užklausas prieš „Salesforce“ objektus, įskaitant atvejus, sąskaitas, vartotojus ir galimybių lenteles.
Šie duomenys leido užpuolikams nuskaityti klientų aptarnavimo bilietus ir pranešimus apie neskelbtiną informaciją, tokius kaip AWS prieigos raktai, snaigės žetonai ir slaptažodžiai, kurie galėtų būti naudojami pažeisti kitas debesies paskyras, greičiausiai dėl būsimo turto prievartavimo.
Šiandien paskelbtame atnaujinime „Google“ patvirtino, kad kompromisas buvo reikšmingesnis, nei iš pradžių tikėjo ir neapsiribojant „Salesforce“ integracijomis.
Tyrimo metu paaiškėjo, kad „OAuth“ žetonai, skirti „dreifo el. Pašto“ integracijai, taip pat buvo pažeista, o rugpjūčio 9 d. Grėsmės veikėjai pasinaudojo jais, norėdami pasiekti „labai mažo„ Google “darbo vietos paskyrų, tiesiogiai integruotų su dreifu,„ labai mažo skaičiaus “el. Pašto adresu.
„Google“ pabrėžė, kad jokios kitos tų domenų paskyros neturėjo įtakos ir kad nebuvo jokios kompromiso „Google Workspace“ ar pačiai abėcėlės.
Nuo to laiko pavogti žetonai buvo atšaukti, o klientams buvo pranešta. „Google“ taip pat išjungė integraciją tarp „SalesLoft Drift“ el. Pašto ir „Google Workspace“, kol jie tiria pažeidimą.
Dabar „Google“ ragina visas organizacijas, naudojančias „Drift“, kad galėtų traktuoti kiekvieną autentifikavimo ženklą, saugomą ar sujungtą su ja, kaip pažeista. Šis įspėjimas klientams pataria atšaukti ir pasukti tų programų kredencialus ir ištirti visas sujungtas sistemas, kad būtų neteisėtos prieigos ženklai.
Bendrovė taip pat rekomenduoja peržiūrėti visas trečiųjų šalių integracijas, susijusias su dreifo egzemplioriais, ieškoti atskleistų paslapčių ir iš naujo nustatyti bet kokius rastus kredencialus, jei jiems būtų pakenkta.
„SalesLoft“ taip pat atnaujino savo patarimą rugpjūčio 28 d., Teigdamas, kad „Salesforce“ išjungė dreifo integraciją su „Salesforce“, „Slack“ ir „Pardot“, kol bus baigtas tyrimas.
Dabar bendrovė įdarbino „Mandiant“ ir koaliciją, kad padėtų atlikti šį tyrimą.
46% aplinkos slaptažodžiai buvo nulaužti, beveik padvigubėjo nuo 25% pernai.
Dabar gaukite „Picus Blue Report 2025“, kad galėtumėte išsamiai įvertinti daugiau išvadų apie prevencijos, aptikimo ir duomenų eksfiltravimo tendencijas.
