Google підтвердив, що злам Salesloft Drift виявився масштабнішим, ніж повідомлялося раніше. Хакери використали викрадені токени OAuth для доступу не лише до Salesforce, а й до електронної пошти деяких акаунтів Google Workspace. Про це пише Bleeping Computer.

26 серпня компанія Google Threat Intelligence (Mandiant) повідомила про атаку угруповання UNC6395, яке викрало токени OAuth із Salesloft Drift — інтеграції з Salesforce. Зловмисники змогли отримати доступ до клієнтських баз і переглядати таблиці Cases, Accounts, Users та Opportunities, де шукали чутливі дані — від AWS-ключів до паролів для хмарних сервісів.

Ці відомості могли бути використані для подальших зламів і шантажу компаній.

У новому звіті від 28 серпня Google зазначає, що компрометація не обмежується Salesforce. Дослідження показало, що були скомпрометовані токени інтеграції Drift Email, і вже 9 серпня хакери використали їх для доступу до невеликої кількості акаунтів Google Workspace.

Викрадені токени вже відкликано, постраждалі клієнти отримали повідомлення, а інтеграцію Drift Email із Workspace тимчасово відключено.

Google радить усім організаціям, що використовують Drift, вважати всі токени скомпрометованими: відкликати й оновити облікові дані інтеграцій, перевірити системи на несанкціонований доступ, переглянути сторонні підключення до Drift та замінити всі потенційно витеклі секрети.