22
Google a révélé que la violation de la dérive des ventes est plus étendue que initialement signalé. Les attaquants ont non seulement volé des données sur les instances Salesforce, mais ont également utilisé des jetons OAuth compromis pour accéder à un petit nombre de Google Workspace Comptes de messagerie.
La violation de la dérive SalesLoft a un impact sur les comptes d’espace de travail Google.
Les attaquants ont accédé à Google Workspace e-mails à l’aide de jetons OAuth volés, élargissant la portée au-delà de Salesforce.
- La violation de SalesLoft Drift comprend désormais un accès non autorisé aux comptes de messagerie Google Workspace.
- Les attaquants ont utilisé des jetons OAuth volés, ciblant initialement les instances Salesforce, pour obtenir un accès plus large.
- Google conseille à tous les clients SalesLoft Drift de traiter tous les jetons d’authentification connectés à la plate-forme comme compromis.
- Salesforce a des intégrations de dérive handicapées avec Salesforce, Slack et Pardot jusqu’à ce que l’enquête soit terminée.
Initialement, les attaquants se sont avérés avoir volé des jetons OAuth pour l’intégration de chat de dérive Saleslofts avec Salesforce. Ces jetons leur ont accordé l’accès aux instances Salesforce Customer Salesforce, leur permettant de demander des données sensibles, y compris les billets et les messages du support client.
Les attaquants ont recherché des informations comme les clés d’accès AWS, les jetons de flocon de neige et les mots de passe. Ces données sensibles pourraient être utilisées pour violer d’autres comptes de cloud, probablement à des fins d’extorsion.
De nouveaux détails émergent
Une mise à jour publiée aujourd’hui par Google a confirmé la plus grande signification du compromis, s’étendant au-delà des intégrations de Salesforce. L’enquête a révélé que les jetons OAuth pour l’intégration «Email Drift» étaient également compromis. Le 9 août, les acteurs de la menace ont utilisé ces jetons pour accéder à l’e-mail d’un «très petit nombre» de comptes Google Workspace directement intégrés à Drift.
Google a souligné qu’aucun autre compte dans ces domaines n’était affecté et que Google Workspace ou Alphabet lui-même n’étaient pas compromis. Les jetons volés ont été révoqués et les clients touchés ont été informés. L’intégration entre SalesLoft Drift Email et Google Workspace a été désactivée pendant que l’enquête se poursuit.
Quel est le dernier avertissement de Google concernant la violation de SalesLoft Drift? Google exhorte toutes les organisations utilisant Drift pour traiter chaque jeton d’authentification stocké ou connecté à la plate-forme comme compromis.
Recommandations pour les utilisateurs
Google conseille fortement toutes les organisations utilisant Drift pour révoquer et faire tourner les informations d’identification pour les applications affectées. Il est crucial d’étudier tous les systèmes connectés pour des signes d’accès non autorisé. La société recommande également d’examiner toutes les intégrations tierces associées aux instances de dérive, de rechercher des secrets exposés et de réinitialiser les informations d’identification trouvées.
SalesLoft a mis à jour son avis le 28 août. Salesforce a désactivé les intégrations de dérive avec Salesforce, Slack et Pardot jusqu’à la fin de l’enquête. SalesLoft a engagé Mandiant et Coalition pour aider à la sonde en cours.