Кибератака на Salesloft: Под угрозой аккаунты Google Workspace и Salesforce
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Google предупредила своих пользователей, что из-за недавней хакерской атаки на платформу Salesloft могли пострадать не только интеграции с Salesforce, но и некоторые аккаунты Google Workspace. Об этом сообщил отдел Threat Intelligence Group (GTIG), опубликовав обновлённый отчёт об этом инциденте.
На этой неделе стало известно, что платформа Salesloft, ориентированная на повышение доходов компаний, подверглась атаке через сервис сторонней компании. В результате были украдены конфиденциальные данные. Salesloft для эффективного общения с посетителями использует Drift – маркетинговую платформу, основанную на чат-ботах и искусственном интеллекте, позволяющую вести диалог в реальном времени.
Кроме того, существует связанная с Drift платформа SalesDrift, которая интегрирует возможности искусственного интеллекта и живого чата с системой Salesforce, синхронизируя переписку и клиентские кейсы внутри экосистемы Salesloft.
Примерно с 8 августа, на протяжении десяти дней, злоумышленники смогли похитить токены OAuth и обновления из SalesDrift, получив таким образом доступ к рабочей среде клиентов и реальным данным.
Последний отчёт Google утверждает, что пострадало больше интеграций, чем предполагалось изначально: "Теперь мы рекомендуем всем клиентам Salesloft Drift считать все токены аутентификации, которые хранятся или связаны с этой платформой, потенциально скомпрометированными." GTIG подтверждает, что были украдены токены OAuth для интеграции Drift Email, что дало хакерам доступ к "очень небольшому числу" аккаунтов Google Workspace — речь идёт только о тех пользователях, которые подключили свои рабочие аккаунты к Salesloft.
Google сообщила, что действовала оперативно — аннулировала скомпрометированные токены, отключила проблемную интеграцию и уведомила всех пользователей, данные которых могли быть украдены. Отдельно подчеркивается: сервисы Google Workspace и Alphabet в целом не были взломаны.
Компания рекомендует всем организациям срочно проверить все сторонние сервисы, подключённые к их Drift, отозвать и заново сгенерировать все пароли и токены, а также следить за подозрительной активностью в своих системах.
Исследователи считают, что за атакой стоит группа UNC6395, хотя хакерское сообщество ShinyHunters также заявило о своей причастности. Откуда взялись такие совпадения идентификации — осталось загадкой.
В начале недели мир вновь столкнулся с классикой жанра: масштабная кибератака с неуклюжими пояснениями от гигантов ИТ-сферы. Salesloft, всеми уважаемая платформа для повышения продаж, внезапно оказалась в центре истории бравых хакеров. Тем временем Google привычно уверяет: «У нас всё под контролем, Alphabet не пострадал», но тут же просит срочно перепроверить все интеграции и сменить пароли — мол, мало ли.
Связка платформ Drift и SalesDrift, созданная для того, чтобы компании эффективнее болтали с клиентами с помощью AI и чат-ботов, на деле оказалась кладезем уязвимостей — именно через неё злоумышленники с 8 августа повышали свои собственные KPI, похищая токены OAuth и тихо кочуя по аккаунтам.
В числе жертв – «очень небольшое количество» Google Workspace-аккаунтов, подключённых через Salesloft. Само собой, обывателю важно: Google не похитили, сервисы целы, но если вы любите экспериментировать с интеграциями, пора нервничать.
Пока UNC6395 и ShinyHunters соревнуются в пиаре собственной хакерской удали, пользователям остаётся одно — блокировать старое, пересматривать подключённое и смиренно ждать следующей утечки. Так выглядит этичный AI с человеческим лицом — и паролями в руках сторонних групп.