Nemrég kiderült, hogy a Salesloft bevételi platformot kibertámadás érte, amely során érzékeny adatok kerültek rosszindulatú szereplők kezébe. Most a Google Threat Intelligence Group friss jelentése szerint a kompromittálódás hatóköre szélesebb lehet, mint eddig gondolták: a támadás érinthetett egyes Google Workspace fiókokat és Salesforce példányokat is.
A támadás augusztus 8-a körül kezdődött, és mintegy tíz napig tartott. A hackerek a Salesloft ökoszisztémájához kapcsolódó SalesDrift platformon keresztül loptak el OAuth és frissítő tokeneket, majd ezekkel bejutottak ügyfélkörnyezetekbe és adatokat szivárogtattak ki. A Google szerint a támadók a Drift Email integrációhoz tartozó tokeneket használták, és így fértek hozzá néhány Google Workspace fiókhoz, amelyek összekapcsolták rendszereiket a Saleslofttal.
A Google azonnali lépéseket tett: visszavonta az érintett tokeneket, letiltotta az integrációt, és értesítette a potenciálisan érintett Workspace adminisztrátorokat. A cég hangsúlyozta, hogy a Google Workspace vagy az Alphabet rendszereinek központi infrastruktúrája nem sérült.
A vállalat arra figyelmeztet minden Salesloft Drift felhasználót, hogy tekintsék az összes, a platformhoz kötődő hitelesítési tokent potenciálisan kompromittáltnak. A javaslat szerint azonnal érdemes átvizsgálni minden harmadik féltől származó integrációt, visszavonni és lecserélni a hitelesítő adatokat, valamint folyamatosan figyelni az esetleges illetéktelen hozzáférés jeleit.
A kutatók a támadást a UNC6395 néven ismert csoporthoz kötik, bár a hírhedt ShinyHunters is magára vállalta az akciót.
