Google ha aconsejado a los usuarios del agente de chat AI Salesloft Drift que consideren comprometidos todos los tokens de seguridad vinculados a la plataforma, tras descubrir que atacantes desconocidos utilizaron algunas de las credenciales para acceder a correos electrónicos de cuentas de Google Workspace.
Como respuesta, Google ha revocado los tokens utilizados en las brechas y ha deshabilitado la integración entre el agente Salesloft Drift y todas las cuentas de Workspace mientras se lleva a cabo una investigación. La compañía también ha notificado a todos los titulares de cuentas afectadas sobre la violación de seguridad.
Ampliación del alcance
El descubrimiento, reportado el jueves en una actualización de aviso, indica que la brecha de Salesloft Drift, que fue reportada el martes, es más amplia de lo que se conocía anteriormente. Antes de la actualización, miembros del Grupo de Inteligencia de Amenazas de Google afirmaron que los tokens comprometidos estaban limitados a las integraciones de Salesloft Drift con Salesforce. La violación de las cuentas de Workspace llevó a Google a cambiar esa evaluación.
“Con base en nueva información identificada por GTIG, el alcance de este compromiso no es exclusivo de la integración de Salesforce con Salesloft Drift y afecta a otras integraciones”, indicó la actualización del jueves. “Ahora aconsejamos a todos los clientes de Salesloft Drift que traten todos los tokens de autenticación almacenados en o conectados a la plataforma Drift como potencialmente comprometidos.”
El jueves, la página de orientación de seguridad de Salesloft no hizo referencia a la nueva información y continuó indicando que la brecha solo afectaba a las integraciones de Drift con Salesforce. Los representantes de la compañía no respondieron de inmediato a un correo electrónico en busca de confirmación sobre el hallazgo de Google.
Salesloft Drift es un agente de chat impulsado por IA que permite a los sitios web ofrecer interacciones en tiempo real, similares a las humanas, con posibles clientes. Salesloft adquirió la plataforma Drift hace 18 meses. Para optimizar el proceso de ventas, Drift puede integrarse con una variedad de otros servicios, incluyendo Salesforce (sin relación con Salesloft), otras plataformas de gestión de relaciones con clientes, Slack, Google Workspace, entre otros.
Google informó el martes que un grupo de ataque que rastrea como UNC6395 había participado en una campaña masiva de robo de datos que utilizó tokens OAuth de Drift comprometidos para acceder a instancias de Salesforce. Una vez dentro, los atacantes accedieron a datos sensibles almacenados en las cuentas de Salesforce y las buscaron en busca de credenciales que pudieran utilizarse para acceder a cuentas de servicios como AWS y Snowflake. La ola de robos comenzó a más tardar el 8 de agosto y se prolongó al menos hasta el 18 de agosto. En respuesta al descubrimiento, Salesforce deshabilitó las integraciones de Drift con su servicio en la nube principal, así como con sus plataformas Slack y Pardot.
La actualización del jueves de Google sugiere que el incidente probablemente no ha sido completamente contenido.
“Recomendamos a las organizaciones que tomen medidas inmediatas para revisar todas las integraciones de terceros conectadas a su instancia de Drift, revocar y rotar credenciales para esas aplicaciones, e investigar todos los sistemas conectados en busca de signos de acceso no autorizado”, indicó la actualización. Además, se mencionó que Salesloft ha contratado el servicio de respuesta a incidentes Mandiant, de propiedad de Google, para investigar la brecha.
Fuente original: ver aquí
