تقارير Google الآن أن خرق Salesloft Drift أكبر مما كان يعتقد في البداية ، تحذيرًا من أن المهاجمين استخدموا أيضًا مموز OAUTH المسروقين للوصول إلى عدد صغير من حسابات البريد الإلكتروني في مساحة عمل Google بالإضافة إلى سرقة البيانات من مثيلات Salesforce.
“Based on new information identified by GTIG, the scope of this compromise is not exclusive to the Salesforce integration with Salesloft Drift and impacts other integrations,’ يحذر جوجل.
“We now advise all Salesloft Drift customers to treat any and all authentication tokens stored in or connected to the Drift platform as potentially compromised.”
تم الكشف عن الحملة ، التي تتبعها Google Threat Intelligence (Mandiant) باسم UNC6395 ، لأول مرة في 26 أغسطس بعد أن سرق المهاجمون رموز Oauth من أجل تكامل دردشة AI من Salesloft مع Salesforce. استخدمت الجهات الفاعلة للتهديدات هذه الرموز للوصول إلى مثيلات Salesforce ، حيث قاموا بتنفيذ استفسارات مقابل كائنات Salesforce ، بما في ذلك الحالات والحسابات والمستخدمين وجداول الفرص.
سمحت هذه البيانات للمهاجمين بفحص تذاكر ورسائل دعم العملاء للحصول على معلومات حساسة ، مثل AWS Access Keys ، ورموز ندفة الثلج ، وكلمات المرور التي يمكن استخدامها لخرق حسابات سحابة أخرى ، من المحتمل أن تكون لابتزاز مستقبلي.
في تحديث نُشر اليوم ، أكدت Google أن التسوية كانت أكثر أهمية مما كان يعتقد في البداية ولا يقتصر على تكامل Salesforce.
وكشف التحقيق أن Oauth الرموز ل “Drift Email” تم اختراق التكامل أيضًا ، وفي 9 أغسطس ، استخدمهم ممثلو التهديد للوصول إلى البريد الإلكتروني “very small number” حسابات مساحة عمل Google التي تم دمجها مباشرة مع الانجراف.
أكدت Google أنه لم تتأثر أي حسابات أخرى في هذه المجالات وأنه لم يكن هناك أي حل وسط لمساحة عمل Google أو الأبجدية نفسها.
منذ ذلك الحين تم إلغاء الرموز المسرحة ، وتم إخطار العملاء. كما قامت Google بتعطيل التكامل بين Salesloft Drift البريد الإلكتروني ومساحة عمل Google أثناء التحقيق في الخرق.
تحث Google الآن جميع المؤسسات التي تستخدم DRIFT لعلاج كل رمز مصادقة مخزنة في النظام الأساسي أو متصل به على أنه معرض للخطر. ينصح هذا التحذير العملاء بإلغاء بيانات الاعتماد وتدويرها لتلك التطبيقات والتحقيق في جميع الأنظمة المتصلة لعلامات الوصول غير المصرح بها.
توصي الشركة أيضًا بمراجعة جميع عمليات تكامل الطرف الثالث المرتبطة بمثيلات الانجراف ، والبحث عن أسرار مكشوفة ، وإعادة ضبط أي بيانات اعتماد موجودة في حالة تعرضها للخطر.
تم تحديث Salesloft أيضا” target=”_فارغ” rel=”nofollow noopener”>استشاريها في 28 أغسطس ، ذكرت أن Salesforce قد عطلت عمليات تكامل الانجراف مع Salesforce و Slack و Pardot حتى يتم الانتهاء من التحقيق.
قامت الشركة الآن بمشاركة التحالف والائتلاف للمساعدة في هذا التحقيق.