Koncem srpna získali hackeři přístup k vnitřnímu fungování platformy AI chatbota a od té doby tento přístup využívají k pronikání do dalších aplikací, od Salesforce po Google Workspace, které společnosti s chatbotem integrovaly.
Drift, chatbot agent získaný společností Salesloft, je populární u amerických prodejních a marketingových týmů. Integruje se s aplikacemi třetích stran, aby konvertoval návštěvníky webu na obchodní příležitosti. Ačkoli je v současné době nejasné, jak se útočníci do Salesloft Drift vloupali, jakmile tam byli, ukradli ověřovací tokeny, které jim daly přístup k Salesforce, Google Workspace, Slacku, Amazon S3, Microsoft Azure, OpenAI a potenciálně jakékoli další platformě, která se integruje se Salesloft.
Pokud vaše společnost používá integrace Drift, Salesloft nebo Salesforce, může být tímto únikem postižena. Bezpečnostní výzkumníci doporučují, abyste okamžitě odvolali všechny OAuth tokeny a provedli audit připojených aplikací. Nečekejte na potvrzení kompromitace – předpokládejte ji a jednejte hned.
Pokud tak neučiníte, útočníci by mohli tyto tokeny použít k přístupu do vašich online prostředí.
Časová osa útoku Salesloft Drift
Salesloft poprvé odhalil bezpečnostní problém ovlivňující integrace Drift(nové okno) 20. srpna.
26. srpna zveřejnila(nové okno) skupina Google Threat Intelligence Group zjištění potvrzující, že útočníci zneužili OAuth tokeny ukradené ze Salesloft k přístupu k instancím Salesforce a exfiltraci velkého množství dat.
28. srpna Google přidal aktualizaci, že útočníci použili tyto přístupové tokeny také k přístupu k e-mailům „velmi malého počtu účtů Google Workspace“, které měly integrace Drift, a poznamenal, že tento hack postihuje téměř všechny integrace Drift. Google tvrdí, že platné ověřovací tokeny byly ukradeny také pro Slack, Amazon S3, Microsoft Azure a OpenAI.
V důsledku toho Google a Salesforce dočasně deaktivovaly své integrace Drift.
1. září Zscaler potvrdil, že byl kompromitován(nové okno) pomocí OAuth a obnovovacích tokenů ukradených při útoku na Drift. Útočníci se vloupali do jeho instance Salesforce a ukradli citlivé informace o zákaznících, včetně jmen, e-mailů, pracovních pozic, informací o používání produktů Zscaler a dalších.
To následuje po dalším nedávném útoku na instance Salesforce, který vedl k nárůstu phishingových útoků proti uživatelům Gmailu a Google Workspace. Podle Krebs Security(nové okno) panuje neshoda o tom, zda spolu tyto dva útoky souvisejí.
Co je útok na dodavatelský řetězec?
Útok na dodavatelský řetězec je, když útočníci jdou po dodavateli třetí strany, aby pronikli do systému organizace. V tomto případě útočníci neporušili Gmail nebo Salesforce přímo – kompromitovali OAuth tokeny z integrací Drift pro přístup k připojeným systémům.
Jedním z nejznámějších nedávných příkladů útoku na dodavatelský řetězec je to, co se stalo se SolarWinds v roce 2020(nové okno). SolarWinds je hlavním poskytovatelem softwaru pro správu sítí. Podezřelí hackeři podporovaní Ruskem zaútočili na SolarWinds, vložili malware do jeho kódu, který byl poté během standardní aktualizace rozšířen do více než 30 000 veřejných a soukromých organizací. Byl to pravděpodobně největší útok na dodavatelský řetězec v historii.
Proč budou AI chatboti i nadále cíli
Spěch integrovat AI agenty jako Drift do bezpočtu pracovních postupů v nejrůznějších společnostech ztížil týmům kybernetické bezpečnosti jejich práci a AI společnosti se zatím ukázaly jako zranitelné vůči útokům na dodavatelský řetězec(nové okno). Vzhledem ke zrychlení adopce AI, novosti technologie a skutečnosti, že se všichni učí za pochodu(nové okno), budou tyto útoky jen častější.
Dokud ekosystém AI nedozraje, nejbezpečnějším krokem je minimalizovat přístup, omezit integrace a používat platformy, které jsou navrženy pro nulovou důvěru. Hackeři se budou vždy snažit zaměřit na vnímané slabiny v bezpečnostních perimetrech společnosti. Integrace, platformy třetích stran a externí konzultanti jsou často vnímáni jako atraktivní cíle. Zjistěte více o prevenci úniků dat pro firmy.
