Google Now informa que la violación de deriva de SalesLoft es mayor de lo que se pensaba inicialmente, advirtiendo que los atacantes también usaron tokens robados de OAuth para acceder a un pequeño número de cuentas de correo electrónico de Google Workspace, además de robar datos de las instancias de Salesforce.
«Basado en la nueva información identificada por GTIG, el alcance de este compromiso no es exclusivo de la integración de Salesforce con SalesLoft Drift e impacta otras integraciones». advierte Google.
«Ahora asesoramos a todos los clientes de SalesLoft Drift que traten todos y cada uno de los tokens de autenticación almacenados o conectados a la plataforma de deriva como potencialmente comprometidos».
La campaña, rastreada por Google Threat Intelligence (Mandiant) como UNC6395, se reveló por primera vez el 26 de agosto después de que los atacantes robaron tokens Oauth para la integración de chat de AI Drift AI de Salesloft con Salesforce. Los actores de amenaza usaron estos tokens para obtener acceso a las instancias de la fuerza de ventas de los clientes, donde ejecutaron consultas contra los objetos de Salesforce, incluidos los casos, cuentas, usuarios y tablas de oportunidades.
Estos datos permitieron a los atacantes escanear boletos y mensajes de atención al cliente para obtener información confidencial, como claves de acceso AWS, tokens de copo de nieve y contraseñas que podrían usarse para violar más cuentas en la nube, probablemente para una futura extorsión.
En una actualización publicada hoy, Google confirmó que el compromiso era más significativo de lo que inicialmente creía y no se limitaba a las integraciones de Salesforce.
La investigación reveló que los tokens OAuth para la integración del «correo electrónico de deriva» también se vieron comprometidos, y el 9 de agosto, los actores de amenaza los utilizaron para acceder al correo electrónico de un «número muy pequeño» de cuentas del espacio de trabajo de Google que estaban directamente integradas con la deriva.
Google enfatizó que ninguna otra cuenta en esos dominios se vio afectada y que no ha habido compromiso con el espacio de trabajo de Google o el alfabeto en sí.
Desde entonces, los tokens robados han sido revocados, y los clientes han sido notificados. Google también deshabilitó la integración entre el correo electrónico de Drift de SalesLoft y el espacio de trabajo de Google mientras investigan la violación.
Google ahora insta a todas las organizaciones que usan Drift a tratar cada token de autenticación almacenado o conectado a la plataforma como comprometido. Esta advertencia aconseja a los clientes que revocen y gire las credenciales para esas aplicaciones e investigue todos los sistemas conectados para obtener signos de acceso no autorizado.
La compañía también recomienda revisar todas las integraciones de terceros asociadas con instancias de deriva, buscar secretos expuestos y restablecer cualquier credencial encontrada en caso de que se hayan comprometido.
SalesLoft también actualizado su asesoramiento El 28 de agosto, afirmando que Salesforce ha desactivado las integraciones de deriva con Salesforce, Slack y Pardot hasta que se complete una investigación.
La compañía ahora ha contratado a Mandiant y Coalition para ayudar con esta investigación.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
