Google 最新通报显示,Salesloft Drift 平台遭遇的入侵事件比最初披露的范围更大。攻击者除了窃取 Salesforce 实例中的数据外,还利用被盗的 OAuth 令牌访问了少量 Google Workspace 邮箱账户。
Google 表示:“根据 GTIG(Google 威胁情报组)掌握的新信息,此次入侵的范围不仅局限于 Salesloft Drift 与 Salesforce 的集成,还影响到其他集成场景。我们建议所有 Salesloft Drift 用户,将存储在该平台或与之连接的所有认证令牌都视为可能已被攻破。”
这起攻击活动由 Google 威胁情报(Mandiant)跟踪,编号为 UNC6395。事件最初于 8 月 26 日曝光,当时攻击者窃取了 Salesloft Drift AI 聊天集成的 OAuth 令牌,并借此访问了客户的 Salesforce 实例,在其中针对 Cases、Accounts、Users、Opportunities 等对象执行查询。
通过这些查询,攻击者得以扫描客户支持工单和消息,从中寻找敏感信息,例如 AWS 访问密钥、Snowflake 令牌以及密码等。这些信息可能被用于进一步攻破云端账户,为未来的勒索或数据窃取铺路。
在最新更新中,Google 确认此次入侵事件影响范围超出最初认知,不仅限于 Salesforce 集成。调查显示,“Drift Email” 集成所使用的 OAuth 令牌同样遭到泄露。攻击者在 8 月 9 日利用这些令牌,访问了极少量与 Drift 直接集成的 Google Workspace 邮箱账户。
Google 强调,除受影响的账户外,相关域名中的其他账户均未受到波及,Google Workspace 及 Alphabet 自身并未遭到入侵。
目前,被盗令牌已全部吊销,相关客户也已收到通知。Google 同时暂停了 Salesloft Drift Email 与 Google Workspace 的集成,以便进一步调查。
Google 现敦促所有使用 Drift 的组织采取以下措施:
1.将存储在 Drift 平台上的所有认证令牌视为已泄露;
2.立即吊销并轮换相关应用的凭证;
3.检查所有连接系统是否存在未授权访问痕迹;
4.审查所有与 Drift 相关的第三方集成;
5.搜索可能暴露的密钥,并及时重置。
Salesloft 在 8 月 28 日也更新了公告,称 Salesforce 已暂停与 Drift、Slack、Pardot 的相关集成,直至调查结束。
目前,Salesloft 已聘请 Mandiant 和 Coalition 协助调查此次事件。
发表评论
您还未登录,请先登录。
登录