Google підтвердив, що злам Salesloft Drift виявився масштабнішим, ніж повідомлялося раніше. Хакери використали викрадені токени OAuth для доступу не лише до Salesforce, а й до електронної пошти деяких акаунтів Google Workspace. Про це пише Bleeping Computer.
Що сталося?
26 серпня компанія Google Threat Intelligence (Mandiant) повідомила про атаку угруповання UNC6395, яке викрало токени OAuth із Salesloft Drift — інтеграції з Salesforce. Зловмисники змогли отримати доступ до клієнтських баз і переглядати таблиці Cases, Accounts, Users та Opportunities, де шукали чутливі дані — від AWS-ключів до паролів для хмарних сервісів.
Ці відомості могли бути використані для подальших зламів і шантажу компаній.
Витік виявився масштабнішим
У новому звіті від 28 серпня Google зазначає, що компрометація не обмежується Salesforce. Дослідження показало, що були скомпрометовані токени інтеграції Drift Email, і вже 9 серпня хакери використали їх для доступу до невеликої кількості акаунтів Google Workspace.
Google підкреслює:
- атака торкнулася лише обмеженої кількості акаунтів,
- інші користувачі Workspace у тих самих доменах не постраждали,
- Google Workspace і Alphabet не були зламані.
Викрадені токени вже відкликано, постраждалі клієнти отримали повідомлення, а інтеграцію Drift Email із Workspace тимчасово відключено.
Рекомендації Google
Google радить усім організаціям, що використовують Drift, вважати всі токени скомпрометованими: відкликати й оновити облікові дані інтеграцій, перевірити системи на несанкціонований доступ, переглянути сторонні підключення до Drift та замінити всі потенційно витеклі секрети.
