Elokuun lopulla hakkerit saivat pääsyn tekoälybotti-alustan sisäisiin toimintoihin, ja siitä lähtien he ovat käyttäneet tätä pääsyä murtautuakseen muihin sovelluksiin, Salesforcesta Google Workspaceen, joita yritykset ovat integroineet botin kanssa.
Drift, Salesloftin hankkima bottiagentti, on suosittu amerikkalaisten myynti- ja markkinointitiimien keskuudessa. Se integroituu ulkopuolisten sovellusten kanssa muuntaakseen verkkosivuston vierailijat myyntiliideiksi. Vaikka on tällä hetkellä epäselvää, miten hyökkääjät murtautuivat Salesloft Driftiin, sinne päästyään he varastivat tunnistautumistunnisteita, jotka antoivat heille pääsyn Salesforceen, Google Workspaceen, Slackiin, Amazon S3:een, Microsoft Azureen, OpenAI:hin ja mahdollisesti mihin tahansa muuhun alustaan, joka integroituu Salesloftin kanssa.
Jos yrityksenne käyttää Driftiä, Salesloftia tai Salesforce-integraatioita, tämä tietomurto saattaa koskea teitä. Tietoturvatutkijat suosittelevat, että mitätöitte kaikki OAuth-tunnisteet välittömästi ja auditoitte yhdistetyt sovellukset. Älkää odottako vahvistusta kompromisoitumisesta – olettakaa se ja toimikaa nyt.
Jos ette toimi, hyökkääjät voisivat käyttää näitä tunnisteita käyttääkseen verkkoympäristöjänne.
Salesloft Drift -hyökkäyksen aikajana
Salesloft paljasti Drift-integraatioihin vaikuttavan tietoturvaongelman(uusi ikkuna) ensimmäisen kerran 20. elokuuta.
26. elokuuta Googlen Threat Intelligence Group julkaisi löydöksiä(uusi ikkuna), jotka vahvistivat, että hyökkääjät olivat hyödyntäneet Salesloftista varastettuja OAuth-tunnisteita päästäkseen Salesforce-instansseihin ja varastaakseen suuria määriä dataa.
28. elokuuta Google lisäsi päivityksen, jonka mukaan hyökkääjät olivat käyttäneet näitä käyttötunnisteita päästäkseen myös ”hyvin pienen määrän Google Workspace -tilejä” sähköposteihin, joilla oli Drift-integraatioita, ja totesi, että tämä hakkerointi vaikuttaa lähes kaikkiin Drift-integraatioihin. Google väittää, että voimassa olevia tunnistautumistunnisteita varastettiin myös Slackille, Amazon S3:lle, Microsoft Azurelle ja OpenAI:lle.
Tämän seurauksena Google ja Salesforce ovat väliaikaisesti poistaneet käytöstä Drift-integraationsa.
Syyskuun 1. päivänä Zscaler vahvisti joutuneensa kompromisoiduksi(uusi ikkuna) käyttäen OAuth- ja päivitystunnisteita, jotka varastettiin Drift-hyökkäyksessä. Hyökkääjät murtautuivat sen Salesforce-instanssiin ja varastivat arkaluonteisia asiakastietoja, mukaan lukien nimiä, sähköposteja, työnimikkeitä, Zscaler-tuotteiden käyttötietoja ja muuta.
Tämä seuraa toista äskettäistä hyökkäystä Salesforce-instansseja vastaan, mikä on johtanut tietojenkalasteluhyökkäysten piikkiin Gmailia ja Google Workspace -käyttäjiä vastaan. Krebs Securityn(uusi ikkuna) mukaan on erimielisyyttä siitä, liittyvätkö nämä kaksi hyökkäystä toisiinsa.
Mikä on toimitusketjuhyökkäys?
Toimitusketjuhyökkäys on tilanne, jossa hyökkääjät käyvät ulkopuolisen toimittajan kimppuun murtautuakseen organisaation järjestelmään. Tässä tapauksessa hyökkääjät eivät murtaneet Gmailia tai Salesforcea suoraan – he kompromisoivat OAuth-tunnisteita Drift-integraatioista päästäkseen yhdistettyihin järjestelmiin.
Yksi pahamaineisimmista viimeaikaisista esimerkeistä toimitusketjuhyökkäyksestä on se, mitä tapahtui SolarWindsin kanssa vuonna 2020(uusi ikkuna). SolarWinds on merkittävä ohjelmistotoimittaja verkonhallintaan. Epäillyt Venäjän tukemat hakkerit hyökkäsivät SolarWindsiin, istuttaen haittaohjelman sen koodiin, joka levisi sitten yli 30 000 julkiseen ja yksityiseen organisaatioon tavanomaisen päivityksen aikana. Se oli todennäköisesti suurin toimitusketjuhyökkäys koskaan.
Miksi tekoälybotit tulevat jatkossakin olemaan kohteita
Kiire integroida Driftin kaltaisia tekoälyagentteja lukuisiin työnkulkuihin kaikenlaisissa yrityksissä on tehnyt kyberturvallisuustiimien työstä vaikeaa, ja tekoäly-yhtiöt ovat tähän mennessä osoittautuneet haavoittuvaisiksi toimitusketjuhyökkäyksille(uusi ikkuna). Ottaen huomioon tekoälyn käyttöönoton kiihtymisen, teknologian uutuuden ja sen tosiasian, että kaikki opettelevat lennosta(uusi ikkuna), nämä hyökkäykset tulevat vain yleistymään.
Kunnes tekoälyekosysteemi kypsyy, turvallisin liike on minimoida käyttöoikeudet, rajoittaa integraatioita ja käyttää alustoja, jotka on suunniteltu nollaluottamukselle. Hakkerit etsivät aina kohteikseen yrityksen turvakehän oletettuja heikkouksia. Integraatioita, ulkopuolisia alustoja ja ulkoisia konsultteja pidetään usein houkuttelevina kohteina. Lue lisää tietomurtojen ehkäisystä yrityksille.
