Взлом ИИ-чатбота Salesloft Drift затронул Google Workspace после компрометации Salesforce
Google обнаружил, что масштаб кибератаки на платформу Salesloft Drift AI значительно превышает первоначальные оценки. Если ранее считалось, что взлом затронул только интеграцию с Salesforce, то новое расследование показало, что злоумышленники получили доступ к учетным записям Google Workspace.
Группа киберпреступников, идентифицированная как UNC6395, использовала скомпрометированные токены OAuth для несанкционированного доступа к электронной почте пользователей через аккаунты Google Workspace. Атака началась не позднее 8 августа и продолжалась как минимум до 18 августа 2025 года.
В ответ на инцидент Google предпринял экстренные меры: отозвал все скомпрометированные токены, полностью отключил интеграцию между Salesloft Drift и всеми учетными записями Workspace, а также уведомил владельцев затронутых аккаунтов о нарушении безопасности.
Согласно обновленным данным от Группы анализа угроз Google (GTIG), все токены аутентификации, хранящиеся на платформе Drift или связанные с ней, следует считать потенциально скомпрометированными. Это значительно расширяет периметр безопасности, требующий внимания.
Salesloft Drift представляет собой ИИ-чатбот, который имитирует человеческое общение с потенциальными клиентами в режиме реального времени. После приобретения платформы Drift компанией Salesloft 18 месяцев назад, сервис получил широкое распространение благодаря возможностям интеграции с различными бизнес-платформами.
Для расследования инцидента Salesloft привлекла службу реагирования на инциденты Mandiant, принадлежащую Google. Специалисты рекомендуют организациям немедленно проверить все сторонние интеграции, подключенные к Drift, отозвать и сменить учетные данные для этих приложений, а также проанализировать все подключенные системы на предмет несанкционированного доступа.
На момент публикации обновленной информации от Google, официальное руководство по безопасности Salesloft все еще содержало устаревшие данные, указывающие, что взлом затронул только интеграцию с Salesforce.
Источник: Ars Technica
0 комментариев
Добавить комментарий