I slutningen af august fik hackere adgang til de indre mekanismer i en AI-chatbot-platform, og siden da har de brugt denne adgang til at bryde ind i andre apps, fra Salesforce til Google Workspace, som virksomheder har integreret med chatbotten.

Drift, en chatbot-agent erhvervet af Salesloft, er populær blandt amerikanske salgs- og marketingteams. Den integrerer med tredjepartsapps for at konvertere besøgende på websteder til salgsemner. Mens det i øjeblikket er uklart, hvordan angriberne brød ind i Salesloft Drift, stjal de, da de først var der, godkendelsestokens, der gav dem adgang til Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure, OpenAI og potentielt enhver anden platform, der integrerer med Salesloft.

Hvis din virksomhed bruger Drift, Salesloft eller Salesforce-integrationer, kan du være ramt af dette databrud. Sikkerhedsforskere anbefaler, at du tilbagekalder alle OAuth-tokens med det samme og reviderer tilsluttede apps. Vent ikke på bekræftelse af kompromittering — antag det og handl nu.

Hvis du ikke gør det, kan angribere bruge disse tokens til at få adgang til dine onlinemiljøer.

Salesloft Drift-angrebstidslinje

Salesloft afslørede først et sikkerhedsproblem, der påvirkede Drift-integrationer(nyt vindue) den 20. august.

Den 26. august frigav Googles Threat Intelligence Group resultater(nyt vindue), der bekræftede, at angribere havde udnyttet OAuth-tokens stjålet fra Salesloft til at få adgang til Salesforce-instanser og eksfiltrere store mængder data.

Den 28. august tilføjede Google en opdatering om, at angriberne havde brugt disse adgangstokens til også at få adgang til e-mails fra “et meget lille antal Google Workspace-konti”, der havde Drift-integrationer, og bemærkede, at dette hack påvirker næsten alle Drift-integrationer. Google hævder, at gyldige godkendelsestokens også blev stjålet for Slack, Amazon S3, Microsoft Azure og OpenAI.

Som et resultat har Google og Salesforce midlertidigt deaktiveret deres Drift-integrationer.

Den 1. september bekræftede Zscaler, at de var blevet kompromitteret(nyt vindue) ved hjælp af OAuth og opdateringstokens stjålet i Drift-angrebet. Angriberne brød ind i dens Salesforce-instans og stjal følsomme kundeoplysninger, herunder navne, e-mails, jobtitler, Zscaler-produktanvendelsesoplysninger og mere.

Dette følger et andet nyligt angreb på Salesforce-instanser, der har ført til en stigning i phishing-angreb mod Gmail og Google Workspace-brugere. Ifølge Krebs Security(nyt vindue) er der uenighed om, hvorvidt de to angreb er relaterede.

Hvad er et supply chain-angreb?

Et supply chain-angreb er, når angribere går efter en tredjepartsleverandør for at bryde ind i en organisations system. I dette tilfælde brød angribere ikke ind i Gmail eller Salesforce direkte — de kompromitterede OAuth-tokens fra Drift-integrationer for at få adgang til tilsluttede systemer.

Et af de mest berygtede nylige eksempler på et supply chain-angreb er det, der skete med SolarWinds i 2020(nyt vindue). SolarWinds er en stor softwareleverandør til netværksadministration. Mistænkte russisk-støttede hackere angreb SolarWinds og implanterede malware i dens kode, som derefter blev spredt til mere end 30.000 offentlige og private organisationer under en standardopdatering. Det var sandsynligvis det største supply chain-angreb nogensinde.

Hvorfor AI-chatbots fortsat vil være mål

Jaget efter at integrere AI-agenter som Drift i utallige arbejdsgange på tværs af alle slags virksomheder har gjort det svært for cybersikkerhedsteams at gøre deres job, og AI-virksomheder har indtil videre vist sig at være sårbare over for supply chain-angreb(nyt vindue). Givet accelerationen af AI-adoption, teknologiens nyhed og det faktum, at alle lærer undervejs(nyt vindue), vil disse angreb kun blive mere almindelige.

Indtil AI-økosystemet modnes, er det sikreste træk at minimere adgang, begrænse integrationer og bruge platforme, der er designet til zero trust. Hackere vil altid forsøge at målrette opfattede svagheder i en virksomheds sikkerhedsperimeter. Integrationer, tredjepartsplatforme og eksterne konsulenter ses ofte som attraktive mål. Lær mere om forebyggelse af databrud for virksomheder.