Cómo proteger a su empresa tras el ataque a Salesloft Drift

A fines de agosto, los hackers obtuvieron acceso al funcionamiento interno de una plataforma de chatbot de IA, y desde entonces han estado utilizando este acceso para irrumpir en otras aplicaciones, desde Salesforce hasta Google Workspace, que las empresas han integrado con el chatbot.

Drift, un agente de chatbot adquirido por Salesloft, es popular entre los equipos de ventas y marketing estadounidenses. Se integra con aplicaciones de terceros para convertir a los visitantes del sitio web en clientes potenciales de ventas. Si bien actualmente no está claro cómo los atacantes irrumpieron en Salesloft Drift, una vez allí, robaron tokens de autenticación que les dieron acceso a Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure, OpenAI y potencialmente cualquier otra plataforma que se integre con Salesloft.

Si su empresa utiliza integraciones de Drift, Salesloft o Salesforce, podría verse afectada por esta vulneración. Los investigadores de seguridad recomiendan que revoque todos los tokens OAuth de inmediato y audite las aplicaciones conectadas. No espere la confirmación del compromiso, asúmalo y actúe ahora.

Si no lo hace, los atacantes podrían usar estos tokens para acceder a sus entornos en línea.

Cronología del ataque a Salesloft Drift

Salesloft divulgó por primera vez un problema de seguridad que afectaba a las integraciones de Drift(nueva ventana) el 20 de agosto.

El 26 de agosto, el Grupo de Inteligencia de Amenazas de Google publicó hallazgos(nueva ventana) confirmando que los atacantes habían explotado tokens OAuth robados de Salesloft para acceder a instancias de Salesforce y exfiltrar grandes cantidades de datos.

El 28 de agosto, Google agregó una actualización de que los atacantes habían usado estos tokens de acceso para acceder también a los correos electrónicos de “un número muy pequeño de cuentas de Google Workspace” que tenían integraciones de Drift y señaló que este hackeo afecta a casi todas las integraciones de Drift. Google afirma que también se robaron tokens de autenticación válidos para Slack, Amazon S3, Microsoft Azure y OpenAI.

Como resultado, Google y Salesforce han desactivado temporalmente sus integraciones de Drift.

El 1 de septiembre, Zscaler confirmó que había sido comprometido(nueva ventana) utilizando tokens OAuth y de actualización robados en el ataque de Drift. Los atacantes irrumpieron en su instancia de Salesforce y robaron información confidencial del cliente, incluidos nombres, correos electrónicos, títulos de trabajo, información de uso del producto Zscaler y más.

Esto sigue a otro ataque reciente a instancias de Salesforce que ha llevado a un aumento en los ataques de suplantación contra usuarios de Gmail y Google Workspace. Según Krebs Security(nueva ventana), hay desacuerdo sobre si los dos ataques están relacionados.

¿Qué es un ataque a la cadena de suministro?

Un ataque a la cadena de suministro es cuando los atacantes van tras un proveedor externo para irrumpir en el sistema de una organización. En este caso, los atacantes no vulneraron Gmail o Salesforce directamente, sino que comprometieron los tokens OAuth de las integraciones de Drift para acceder a los sistemas conectados.

Uno de los ejemplos recientes más infames de un ataque a la cadena de suministro es lo que sucedió con SolarWinds en 2020(nueva ventana). SolarWinds es un importante proveedor de software para la gestión de redes. Supuestos hackers respaldados por Rusia atacaron SolarWinds, implantando malware en su código, que luego se extendió a más de 30,000 organizaciones públicas y privadas durante una actualización estándar. Probablemente fue el mayor ataque a la cadena de suministro de la historia.

¿Por qué los chatbots de IA seguirán siendo objetivos?

La prisa por integrar agentes de IA como Drift en innumerables flujos de trabajo en todo tipo de empresas ha dificultado que los equipos de ciberseguridad hagan su trabajo, y las empresas de IA han demostrado hasta ahora ser vulnerables a los ataques a la cadena de suministro(nueva ventana). Dada la aceleración de la adopción de la IA, la novedad de la tecnología y el hecho de que todos están aprendiendo sobre la marcha(nueva ventana), estos ataques solo se volverán más comunes.

Hasta que el ecosistema de IA madure, la medida más segura es minimizar el acceso, limitar las integraciones y utilizar plataformas diseñadas para confianza cero. Los hackers siempre buscarán atacar las debilidades percibidas en los perímetros de seguridad de una empresa. Las integraciones, las plataformas de terceros y los consultores externos a menudo se ven como objetivos atractivos. Obtenga más información sobre la prevención de vulneraciones de datos para empresas.