Google: Η παραβίαση Salesloft επηρέασε Workspace accounts
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Google: Η παραβίαση Salesloft επηρέασε Workspace accounts
https://www.secnews.gr/657583/google-parabiasi-salesloft-workspace-account/
Aug 29th 2025, 14:20
by Digital Fortress
Η Google αναφέρει ότι η παραβίαση του Salesloft Drift είναι μεγαλύτερη απ' ό,τι είχε αρχικά εκτιμηθεί, προειδοποιώντας ότι οι επιτιθέμενοι χρησιμοποίησαν κλεμμένα OAuth tokens για να αποκτήσουν πρόσβαση σε ένα μικρό αριθμό λογαριασμών email του Google Workspace (εκτός από την κλοπή δεδομένων από Salesforce instances).
«Με βάση νέες πληροφορίες που εντοπίστηκαν από την GTIG, το εύρος αυτής της παραβίασης δεν περιορίζεται στην ενσωμάτωση Salesforce με το Salesloft Drift, αλλά επηρεάζει και άλλα integrations», προειδοποιεί η Google.
«Συμβουλεύουμε όλους τους πελάτες του Salesloft Drift να θεωρούν όλα τα authentication tokens που είναι αποθηκευμένα ή συνδεδεμένα στην πλατφόρμα Drift ως ενδεχομένως παραβιασμένα». Η καμπάνια, η οποία παρακολουθείται από την Google Threat Intelligence (Mandiant) ως UNC6395, αποκαλύφθηκε για πρώτη φορά στις 26 Αυγούστου, μετά την κλοπή OAuth tokens για την ενσωμάτωση του Salesloft Drift AI chat με το Salesforce. Οι επιτιθέμενοι χρησιμοποίησαν αυτά τα tokens για να αποκτήσουν πρόσβαση σε Salesforce instances πελατών, εκτελώντας queries σε Salesforce objects, όπως τα Cases, Accounts, Users και Opportunities tables.
Δείτε επίσης: JSCoreRunner: Mac malware διανέμεται μέσω PDF Conversion Site
Αυτά τα δεδομένα επέτρεψαν στους επιτιθέμενους να σαρώσουν customer support tickets και μηνύματα για ευαίσθητες πληροφορίες (π.χ. AWS access keys, Snowflake tokens και κωδικούς πρόσβασης). Τα στοιχεία αυτά που θα μπορούσαν να χρησιμοποιηθούν για να παραβιάσουν άλλους λογαριασμούς cloud.
Ωστόσο, σύμφωνα με τη νέα δημοσίευση της Google, η παραβίαση αυτή ήταν πιο σημαντική από ό,τι είχε εκτιμηθεί και δεν περιορίστηκε σε Salesforce integrations. Η έρευνα αποκάλυψε ότι τα OAuth tokens για το "Drift Email" integration είχαν επίσης παραβιαστεί, και στις 9 Αυγούστου οι επιτιθέμενοι τα χρησιμοποίησαν για να αποκτήσουν πρόσβαση στα email ενός «πολύ μικρού αριθμού» λογαριασμών Google Workspace που ήταν άμεσα ενσωματωμένοι με το Drift.
Η Google τόνισε ότι κανένας άλλος λογαριασμός σε αυτά τα domains δεν επηρεάστηκε και ότι δεν υπήρξε παραβίαση του ίδιου του Google Workspace ή της Alphabet.
Τα κλεμμένα tokens έχουν ανακληθεί και οι πελάτες έχουν ειδοποιηθεί. Η Google απενεργοποίησε επίσης την ενσωμάτωση μεταξύ του Salesloft Drift Email και του Google Workspace, ενώ συνεχίζεται η έρευνα για την παραβίαση.
Η Google τώρα προτρέπει όλους τους οργανισμούς, που χρησιμοποιούν το Drift, να θεωρούν τα credentials παραβιασμένα. Οι πελάτες καλούνται να ανακαλέσουν και να ανανεώσουν τα διαπιστευτήρια για αυτές τις εφαρμογές και να διερευνήσουν όλα τα συνδεδεμένα συστήματα για σημάδια μη εξουσιοδοτημένης πρόσβασης.
Δείτε επίσης: Velociraptor: Κατάχρηση του εργαλείου DFIR για remote access
Η εταιρεία προτείνει, επίσης, στους οργανισμούς να αναθεωρήσουν όλα τα third-party integrations που σχετίζονται με τα Drift instances, να αναζητήσουν εκτεθειμένα secrets και να επαναφέρουν διαπιστευτήρια σε περίπτωση που έχουν παραβιαστεί.
Η Salesloft ενημέρωσε επίσης την ανακοίνωσή της στις 28 Αυγούστου, δηλώνοντας ότι η Salesforce έχει απενεργοποιήσει τα Drift integrations με το Salesforce, το Slack και το Pardot μέχρι να ολοκληρωθεί η έρευνα.
Οι Mandiant και Coalition προσφέρουν τη βοήθειά τους στην έρευνα.
Salesloft Drift Breach: Η «σιωπηλή απειλή» των OAuth tokens
Η πρόσφατη αποκάλυψη της Google ότι η παραβίαση του Salesloft Drift είχε μεγαλύτερο αντίκτυπο πρέπει να μας ανησυχήσει · είναι μια προειδοποίηση για το πόσο επισφαλές έχει γίνει το οικοσύστημα των SaaS integrations. Η χρήση OAuth tokens, που θεωρούνταν μια ασφαλής μέθοδος αυθεντικοποίησης, αναδεικνύεται σε αδύναμο κρίκο όταν τα tokens αυτά αποθηκεύονται ή χρησιμοποιούνται απρόσεκτα.
Δείτε επίσης: Κατάχρηση του Microsoft Teams για απομακρυσμένη πρόσβαση
Η επίθεση UNC6395 δείχνει ότι οι επιτιθέμενοι δεν περιορίστηκαν στην πρόσβαση σε Salesforce δεδομένα, αλλά εκμεταλλεύτηκαν τις ίδιες γέφυρες για να διεισδύσουν και σε Google Workspace λογαριασμούς, αποσπώντας email και ευαίσθητα credentials. Αυτό αποδεικνύει κάτι ανησυχητικό: μια αλυσίδα integrations μπορεί να μετατραπεί σε «πολλαπλασιαστή ρίσκου». Αν ένας κρίκος σπάσει, ο αντίκτυπος επεκτείνεται σε ολόκληρο το επιχειρησιακό οικοσύστημα.
Το συμβάν τονίζει την ανάγκη για αυστηρότερη παρακολούθηση third-party εφαρμογών και καλύτερη διαχείριση μυστικών (API keys, tokens, credentials). Οι οργανισμοί συχνά τρέχουν δεκάδες integrations χωρίς να αξιολογούν σε βάθος τις συνέπειες. Σε αυτό το πλαίσιο, η επίθεση Drift θα πρέπει να λειτουργήσει ως wake-up call: η ασφάλεια δεν τελειώνει στην ίδια την πλατφόρμα, αλλά εκτείνεται σε όλα τα συστήματα που «κουμπώνουν» πάνω της.
Πηγή: www.bleepingcomputer.com
© SecNews.gr - Google: Η παραβίαση Salesloft επηρέασε Workspace accounts
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
Google: Η παραβίαση Salesloft επηρέασε Workspace accounts
https://www.secnews.gr/657583/google-parabiasi-salesloft-workspace-account/
Aug 29th 2025, 14:20
by Digital Fortress
Η Google αναφέρει ότι η παραβίαση του Salesloft Drift είναι μεγαλύτερη απ' ό,τι είχε αρχικά εκτιμηθεί, προειδοποιώντας ότι οι επιτιθέμενοι χρησιμοποίησαν κλεμμένα OAuth tokens για να αποκτήσουν πρόσβαση σε ένα μικρό αριθμό λογαριασμών email του Google Workspace (εκτός από την κλοπή δεδομένων από Salesforce instances).
«Με βάση νέες πληροφορίες που εντοπίστηκαν από την GTIG, το εύρος αυτής της παραβίασης δεν περιορίζεται στην ενσωμάτωση Salesforce με το Salesloft Drift, αλλά επηρεάζει και άλλα integrations», προειδοποιεί η Google.
«Συμβουλεύουμε όλους τους πελάτες του Salesloft Drift να θεωρούν όλα τα authentication tokens που είναι αποθηκευμένα ή συνδεδεμένα στην πλατφόρμα Drift ως ενδεχομένως παραβιασμένα». Η καμπάνια, η οποία παρακολουθείται από την Google Threat Intelligence (Mandiant) ως UNC6395, αποκαλύφθηκε για πρώτη φορά στις 26 Αυγούστου, μετά την κλοπή OAuth tokens για την ενσωμάτωση του Salesloft Drift AI chat με το Salesforce. Οι επιτιθέμενοι χρησιμοποίησαν αυτά τα tokens για να αποκτήσουν πρόσβαση σε Salesforce instances πελατών, εκτελώντας queries σε Salesforce objects, όπως τα Cases, Accounts, Users και Opportunities tables.
Δείτε επίσης: JSCoreRunner: Mac malware διανέμεται μέσω PDF Conversion Site
Αυτά τα δεδομένα επέτρεψαν στους επιτιθέμενους να σαρώσουν customer support tickets και μηνύματα για ευαίσθητες πληροφορίες (π.χ. AWS access keys, Snowflake tokens και κωδικούς πρόσβασης). Τα στοιχεία αυτά που θα μπορούσαν να χρησιμοποιηθούν για να παραβιάσουν άλλους λογαριασμούς cloud.
Ωστόσο, σύμφωνα με τη νέα δημοσίευση της Google, η παραβίαση αυτή ήταν πιο σημαντική από ό,τι είχε εκτιμηθεί και δεν περιορίστηκε σε Salesforce integrations. Η έρευνα αποκάλυψε ότι τα OAuth tokens για το "Drift Email" integration είχαν επίσης παραβιαστεί, και στις 9 Αυγούστου οι επιτιθέμενοι τα χρησιμοποίησαν για να αποκτήσουν πρόσβαση στα email ενός «πολύ μικρού αριθμού» λογαριασμών Google Workspace που ήταν άμεσα ενσωματωμένοι με το Drift.
Η Google τόνισε ότι κανένας άλλος λογαριασμός σε αυτά τα domains δεν επηρεάστηκε και ότι δεν υπήρξε παραβίαση του ίδιου του Google Workspace ή της Alphabet.
Τα κλεμμένα tokens έχουν ανακληθεί και οι πελάτες έχουν ειδοποιηθεί. Η Google απενεργοποίησε επίσης την ενσωμάτωση μεταξύ του Salesloft Drift Email και του Google Workspace, ενώ συνεχίζεται η έρευνα για την παραβίαση.
Η Google τώρα προτρέπει όλους τους οργανισμούς, που χρησιμοποιούν το Drift, να θεωρούν τα credentials παραβιασμένα. Οι πελάτες καλούνται να ανακαλέσουν και να ανανεώσουν τα διαπιστευτήρια για αυτές τις εφαρμογές και να διερευνήσουν όλα τα συνδεδεμένα συστήματα για σημάδια μη εξουσιοδοτημένης πρόσβασης.
Δείτε επίσης: Velociraptor: Κατάχρηση του εργαλείου DFIR για remote access
Η εταιρεία προτείνει, επίσης, στους οργανισμούς να αναθεωρήσουν όλα τα third-party integrations που σχετίζονται με τα Drift instances, να αναζητήσουν εκτεθειμένα secrets και να επαναφέρουν διαπιστευτήρια σε περίπτωση που έχουν παραβιαστεί.
Η Salesloft ενημέρωσε επίσης την ανακοίνωσή της στις 28 Αυγούστου, δηλώνοντας ότι η Salesforce έχει απενεργοποιήσει τα Drift integrations με το Salesforce, το Slack και το Pardot μέχρι να ολοκληρωθεί η έρευνα.
Οι Mandiant και Coalition προσφέρουν τη βοήθειά τους στην έρευνα.
Salesloft Drift Breach: Η «σιωπηλή απειλή» των OAuth tokens
Η πρόσφατη αποκάλυψη της Google ότι η παραβίαση του Salesloft Drift είχε μεγαλύτερο αντίκτυπο πρέπει να μας ανησυχήσει · είναι μια προειδοποίηση για το πόσο επισφαλές έχει γίνει το οικοσύστημα των SaaS integrations. Η χρήση OAuth tokens, που θεωρούνταν μια ασφαλής μέθοδος αυθεντικοποίησης, αναδεικνύεται σε αδύναμο κρίκο όταν τα tokens αυτά αποθηκεύονται ή χρησιμοποιούνται απρόσεκτα.
Δείτε επίσης: Κατάχρηση του Microsoft Teams για απομακρυσμένη πρόσβαση
Η επίθεση UNC6395 δείχνει ότι οι επιτιθέμενοι δεν περιορίστηκαν στην πρόσβαση σε Salesforce δεδομένα, αλλά εκμεταλλεύτηκαν τις ίδιες γέφυρες για να διεισδύσουν και σε Google Workspace λογαριασμούς, αποσπώντας email και ευαίσθητα credentials. Αυτό αποδεικνύει κάτι ανησυχητικό: μια αλυσίδα integrations μπορεί να μετατραπεί σε «πολλαπλασιαστή ρίσκου». Αν ένας κρίκος σπάσει, ο αντίκτυπος επεκτείνεται σε ολόκληρο το επιχειρησιακό οικοσύστημα.
Το συμβάν τονίζει την ανάγκη για αυστηρότερη παρακολούθηση third-party εφαρμογών και καλύτερη διαχείριση μυστικών (API keys, tokens, credentials). Οι οργανισμοί συχνά τρέχουν δεκάδες integrations χωρίς να αξιολογούν σε βάθος τις συνέπειες. Σε αυτό το πλαίσιο, η επίθεση Drift θα πρέπει να λειτουργήσει ως wake-up call: η ασφάλεια δεν τελειώνει στην ίδια την πλατφόρμα, αλλά εκτείνεται σε όλα τα συστήματα που «κουμπώνουν» πάνω της.
Πηγή: www.bleepingcomputer.com
© SecNews.gr - Google: Η παραβίαση Salesloft επηρέασε Workspace accounts
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672