2025年8月,Salesloft的Drift聊天机器人遭遇安全事件,攻击者利用OAuth令牌进入Salesforce实例并窃取大量数据。Google Threat Intelligence Group指出攻击目标为收集凭证,并在数据中寻找敏感信息。该活动由UNC6395团伙实施,影响不仅限于Salesforce集成客户,还包括Slack、Google Workspace等服务。Google已撤销受影响令牌并禁用相关集成。Salesloft建议客户撤销和轮换应用凭证,并已聘请安全公司处理事件。 2025-9-2 15:0:35 Author: www.securityinfo.it(查看原文) 阅读量:6 收藏
Set 02, 2025 Attacchi, In evidenza, Intrusione, News, RSS
Lo scorso 20 agosto Salesloft aveva avvertito di un incidente di sicurezza che ha colpito Drift, il proprio chatbot di IA usato per convertire le interazioni utente in lead di Salesforce. Gli attaccanti sono riusciti a entrare in possesso di token Drift OAuth per accedere a istanze di Salesforce e sottrarre grandi volumi di dati.
“L’autore dell’attacco ha esportato sistematicamente grandi volumi di dati da numerose istanze aziendali di Salesforce. GTIG ritiene che l’obiettivo principale dell’autore dell’attacco fosse quello di raccogliere credenziali. Dopo aver sottratto i dati, il gruppo ha cercato tra i dati informazioni riservate che potessero essere potenzialmente utilizzate per compromettere gli ambienti delle vittime” ha spiegato Google Threat Intelligence Group in un report.
La campagna, iniziata l’8 agosto e durata almeno fino al 18 agosto, sarebbe a opera del gruppo UNC6395. Se inizialmente sembrava che il pericolo fosse limitato solo a quei clienti che integrano Drift in Salesforce, gli ultimi aggiornamenti di Google avvertono che la campagna impatta anche su altre integrazioni. “Consigliamo ora a tutti i clienti Salesloft Drift di considerare tutti i token memorizzati o connessi alla piattaforma Drift come potenzialmente compromessi” si legge nel report aggiornato.
Come si legge su un articolo di Krebs On Security, questo significa che potenzialmente gli hacker hanno sottratto token d’autenticazione per centinaia di servizi che si possono integrare con la piattaforma, inclusi Slack, Google Workspace, Amazon S3, Azure e OpenAI.
Per quanto riguarda i suoi servizi, Google ha revocato i token compromessi degli utenti impattati e ha temporaneamente disabilitato l’integrazione tra Workspace e Drift. La compagnia ha invitato inoltre tutti i clienti di Salesloft Drift che integrano la piattaforma a revocare e ruotare le credenziali per le applicazioni connesse.
Nell’ultima comunicazione, Salesloft ha specificato di aver ingaggiato Mandiant e Coalition per analizzare e gestire l’incidente. “Consigliamo a tutti i clienti Drift che gestiscono le proprie connessioni Drift ad applicazioni di terze parti tramite chiave API di revocare in modo proattivo la chiave esistente e riconnettersi utilizzando una nuova chiave API per queste applicazioni. Ciò riguarda solo le integrazioni Drift basate su chiave API. Le applicazioni OAuth vengono gestite direttamente da Salesloft” ha dichiarato la compagnia.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh