Il Google Threat Intelligence Group (GTIG) ha rilevato accessi non autorizzati agli account Workspace tramite token OAuth rubati in seguito al data breach subito da Salesloft. Gli utenti di Salesforce sembravano inizialmente le uniche vittime. Invece la portata degli attacchi è più ampia. L’incidente di sicurezza non è correlato a quello del 5 agosto.
Accesso alle email di alcuni utenti Workspace
Salesloft offre l’omonima piattaforma di automazione delle vendite. Tramite l’applicazione Drift è possibile collegare un agente AI per le chat alle istanze del CRM di Salesforce. L’azienda di Atlanta ha comunicato che ignoti cybercriminali hanno ottenuto i token OAuth associati a Drift, successivamente utilizzati per accedere alle istanze Salesforce.
Secondo Google, gli autori sono il gruppo UNC6395. Utilizzando una serie di query SQL hanno sottratto diversi dati, tra cui nomi dei clienti, indirizzi email e varie informazioni sensibili (password, token e chiavi di accesso AWS). Salesloft ha quidi revocato tutti i token per Drift, mentre Salesforce ha rimosso temporaneamente Drift da AppExchange.
Google ha aggiornato ieri sera il post sul blog ufficiale per avvisare che il problema di sicurezza non riguarda solo l’integrazione di Salesloft Drift con Salesforce. Tutti i token OAuth di Drift sono potenzialmente compromessi. Durante l’indagine, gli esperti del GTIG hanno scoperto che sono stati compromessi anche i token dell’integrazione Drift Email.
Questi token sono stati sfruttati per accedere alle email di un piccolo numero di utenti Workspace (solo quelli configurati per l’integrazione con Salesloft). Google ha avvisato gli utenti interessati, revocato i token e disattivato l’integrazione tra Workspace e Salesloft Drift fino al termine dell’indagine.
L’incidente non è correlato a quello di inizio mese. Due gruppi di cybercriminali (ShinyHunters e Scattered Spider) hanno unito le forze per ottenere l’accesso alle istanze Salesforce, una delle quali è usata per conservare i dati di alcuni clienti di Google Ads.