Ami kezdetben korlátozott támadásnak tűnt a beton integrációk ellen, az a nagyobb esemény volt. A Google felismerte, hogy a SalesLoft Drift és a Salesforce befolyásoló biztonsági jogsértés Nem csak kompromisszumot adott Tokenek oauth Az integrációval kapcsolatos, de a Google Workspace kis számú fiókját is befolyásolta, ami felveti az eset súlyosságát.
Egy szélesebb probléma pontos eseménye
A Az első riasztás augusztus 26 -án érkezettamikor a Google hírszerző csapata, a Mandiant (GTIG) arról számolt be, hogy a támadók egy csoportja ellopta az OAuth tokeneket, amelyek a Drift AI csevegés integrálásához kapcsolódtak a Salesforce -be. Abban az időben minden rámutatott az adott kapcsolatra irányuló támadásra.
A CyberCounts, amelyet a Google azonosított az UNC6395 kóddalezeket a tokeneket használták, hogy több szervezet értékesítői példányaiba lépjenek be. A belépés után konzultációkat hajtottak végre olyan kritikus táblákban, mint például az esetek, a fiókok, a felhasználók és a lehetőségek, amelyek lehetővé tették számukra, hogy a jegyekben és az ügyfélszolgálati üzenetekben tárolt finom információkat nagymértékben felülvizsgálják. Az adatok között voltak AWS hozzáférési kulcsok, hópehely tokenek és jelszavak Hogy rossz kezekben kinyithatják az ajtót az új támadások ellen más felhőplatformok ellen.
A Google megerősíti, hogy a támadás szintén megérintette a földjét
A ma közzétett frissítésben a Google -nak fel kellett ismernie, hogy az elkötelezettség nem maradt a Salesforce -ban. A gyűjtött adatok szerint A támadóknak sikerült lopniuk a Drift -e -mail integrációjával kapcsolatos tokeneket isés augusztus 9 -én ezeket a hitelesítő adatokat felhasználták Hozzáférjen a Google Workspace -fiókok „nagyon kis számának” e -mailjéhez közvetlenül a sodródáshoz csatlakoztatva.
A vállalat ragaszkodik ahhoz, hogy a hatás korlátozott volt, és hogy az érintett domainekben más beszámoló sem vált veszélybe. Nincs bizonyíték arra is, hogy a Google munkaterülete vagy az Alphabet fő infrastruktúrája bármilyen károkat szenvedett. Azonnali intézkedésként a Google visszavonta az ellopott tokeneket, értesítette az érintett ügyfeleket, és letiltotta a drift -e -mail és a Google munkaterület közötti integrációt. Miközben továbbra is elemzi, mi történt.
Ajánlások és megelőző intézkedések
A Google üzenete egyértelmű: Minden olyan szervezetnek, amely a sodródást használja, figyelembe kell vennie az elkötelezett platformhoz tárolt vagy kapcsolódó hitelesítési tokeneket. Az ajánlás átmenő visszavonja és forgassa el a hitelesítő adatokatvalamint Ellenőrizze a csatlakoztatott rendszereket A lehetséges jogosulatlan hozzáférések azonosítása.
Ezen felül azt tanácsolják A harmadik integrációk harmadik integrációja alaposan felülvizsgálja Hogy a sodródás mellett működnek, ellenőrizze, hogy vannak -e titkok vagy hitelesítő adatok, és kétség esetén azonnal helyreállítják őket. A cél az, hogy megakadályozzák a támadókat, hogy újrafelhasználják a kiváltságos hozzáférést, hogy meghosszabbítsák a behatolás hatókörét.
A Salesforce és a Salesloft is reagál
Nem csak a Google -nak kellett költöznie. A SalesLoft augusztus 28 -án frissítette hivatalos értesítésétmegerősítve, hogy a Salesforce úgy döntött, hogy letiltja a Drift integrációját a Salesforce -val, a Slack -rel és a Pardot -szal, amíg a folyamatban lévő vizsgálat véget nem ér.
Maga a SalesLoft megerősítette válaszcsoportját a Mandiant és a Koalíció együttműködésévelKét referencia cég a kiberbiztonság területén. A cél kettős: Tartalmazza a lehetséges károkat, és garantálja ügyfeleinek, hogy alaposan dolgoznak, hogy megakadályozzák valami ilyesmit.
Emlékeztető arra, hogy milyen törékenyek az integrációk
Ez az eset a modern üzleti szoftverek egyik legnagyobb kihívása az asztalra helyezi a táblázatot: Integráció a platformok között– A csatlakozó eszközök időt takarítanak meg és megkönnyítik a folyamatokat, de megsokszorozzák azokat a belépési pontokat is, amelyeket a támadó kihasználhat. Egyetlen ellopott token oauth válhat a fő kulccsal a kritikus adatok eléréséhez a különböző szolgáltatásokban.
Jelenleg az ügyfelekre gyakorolt közvetlen hatás elégedettnek tűnik, de az a tény, hogy a rés elérte a Google munkaterületét, egy kis figyelmet fordít. A szervezetek számára nyújtott ajánlás egyértelmű: felülvizsgálat, ellenőrzés és nem biztonságosan adja meg a harmadik felek integrációit állandó ellenőrzés nélkül.
