A Google acaba de elevar o nível de alerta sobre a falha de segurança na plataforma Salesloft Drift, revelando que o impacto do ataque é consideravelmente maior do que o inicialmente comunicado. O que se pensava ser um ataque focado na integração com o Salesforce, afinal também permitiu que os atacantes acedessem a um pequeno número de contas de email do Google Workspace, segundo um novo relatório da Google Threat Intelligence.
Face à nova informação, a recomendação da empresa é agora mais drástica: todos os clientes da Salesloft Drift devem considerar que qualquer token de autenticação ligado à plataforma está potencialmente comprometido.
O ataque foi mais longe do que o esperado
A campanha, rastreada pela Mandiant (a unidade de inteligência de ameaças da Google) como UNC6395, foi inicialmente divulgada a 26 de agosto. Na altura, sabia-se que os atacantes tinham roubado tokens OAuth da integração do chatbot de IA Drift com o Salesforce. Estes tokens foram usados para obter acesso não autorizado a instâncias de clientes no Salesforce, onde executaram consultas a objetos como Casos, Contas, Utilizadores e Oportunidades.
O objetivo era claro: encontrar informação sensível, como chaves de acesso da AWS, tokens do Snowflake e palavras-passe, que pudessem ser usadas para comprometer outras contas na nuvem, provavelmente com o intuito de futura extorsão.
A investigação, contudo, revelou agora que os tokens OAuth da integração "Drift Email" também foram roubados. A 9 de agosto, os cibercriminosos utilizaram-nos para aceder ao email de um "número muito reduzido" de contas Google Workspace que estavam diretamente integradas com a plataforma Drift. A Google frisa que nenhuma outra conta nesses domínios foi afetada e que não houve qualquer comprometimento do Google Workspace ou da Alphabet em si.
Google lança aviso a todos os clientes: assumam o pior cenário
Perante a expansão do ataque, a Google está a instar todas as organizações que utilizam a plataforma Drift a tratar todos os tokens de autenticação armazenados ou ligados ao serviço como estando comprometidos. A recomendação é para que os clientes revoguem e rotem as credenciais de todas as aplicações integradas e investiguem os sistemas conectados em busca de sinais de acesso não autorizado.
A empresa aconselha ainda a rever todas as integrações de terceiros associadas às instâncias do Drift, procurar por segredos expostos e redefinir quaisquer credenciais encontradas, assumindo que foram comprometidas.
Salesloft e Salesforce reagem à ameaça
Os tokens roubados foram entretanto revogados e os clientes afetados notificados. A Google também desativou a integração entre o Salesloft Drift Email e o Google Workspace enquanto a investigação decorre.
A Salesloft, por sua vez, atualizou o seu comunicado a 28 de agosto, informando que o Salesforce desativou as integrações do Drift com o próprio Salesforce, Slack e Pardot até que a investigação seja concluída. A empresa contratou os serviços da Mandiant e da Coalition para auxiliar no processo.
Nenhum comentário
Seja o primeiro!