Nedavna široko rasprostranjena kampanja krađe podataka koja je pogodila stotine Salesforce korisnika kroz njihovu Salesloft Drift integraciju, zahvatila je i organizacije koje koriste Google Workspace, saopštila je Google Threat Intelligence Group (GTIG).
Između 8. i 18. avgusta 2025. napad je sproveden kompromitovanjem OAuth tokena za treću stranu – AI chat bot Salesloft Drift – što je omogućilo masovni izvoz podataka iz korporativnih Salesforce instanci, vjerovatno radi prikupljanja kredencijala, upozorava GTIG. Hakeri su aktivno tražili AWS pristupne ključeve, lozinke, Snowflake tokene i druge osjetljive informacije. Kampanja je pripisana hakerskoj grupi UNC6395.
U ažuriranju od 28. avgusta, GTIG je otkrio da je uticaj kampanje širi nego što se ranije vjerovalo, jer su kompromitovani i OAuth tokeni za “Drift Email” integraciju. Prema nalazima, 9. avgusta napadači su pomoću tih tokena pristupili mejlovima malog broja Google Workspace naloga.
GTIG naglašava da su pogođeni samo Workspace nalozi posebno podešeni za integraciju sa Salesloft-om, dok drugi nalozi u okviru pogođenih domena nisu kompromitovani. Odmah nakon identifikovanja problema, Google je opozvao OAuth tokene za Drift Email aplikaciju i onemogućio Workspace integraciju sa Salesloft Drift-om.
“Obavještavamo sve pogođene administratore Google Workspace-a. Da bude jasno, nisu kompromitovani Google Workspace niti sama kompanija Alphabet,” navodi GTIG.
Google savjetuje svim organizacijama koje koriste Drift da pregledaju integracije trećih strana, rotiraju kredencijale i provjere sisteme na znake kompromitovanja. GTIG dodaje da obim kompromitovanja prevazilazi Salesforce integraciju, te da svi Salesloft Drift korisnici treba da tretiraju sve autentifikacione tokene povezane sa Drift platformom kao potencijalno ugrožene.
Salesloft je, sa svoje strane, obavijestio korisnike koji upravljaju vlastitim Drift konekcijama putem API ključeva da iste opozovu i kreiraju nove, direktno u aplikacijama trećih strana. “Listu trenutnih povezanih integracija možete vidjeti u Drift Admin podešavanjima,” navela je kompanija.
Takođe, Salesloft je podijelio indikatore kompromitovanja (IOC) radi lakšeg otkrivanja upada, te je potvrdio da sarađuje sa Mandiant-om i Coalition-om na istrazi, sanaciji i provjeri integriteta platforme. “Radimo sa Salesforce-om i partnerima na obnavljanju Salesloft integracija što je prije moguće” saopštila je kompanija.
Izvor: SecurityWeek
