A fine agosto, gli hacker hanno ottenuto l’accesso ai meccanismi interni di una piattaforma chatbot IA, e da allora hanno usato questo accesso per irrompere in altre app, da Salesforce a Google Workspace, che le aziende hanno integrato con il chatbot.

Drift, un agente chatbot acquisito da Salesloft, è popolare tra i team di vendita e marketing americani. Si integra con app di terze parti per convertire i visitatori del sito web in lead di vendita. Sebbene al momento non sia chiaro come gli aggressori abbiano fatto irruzione in Salesloft Drift, una volta lì, hanno rubato token di autenticazione che davano loro accesso a Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure, OpenAI e potenzialmente qualsiasi altra piattaforma che si integri con Salesloft.

Se la tua azienda usa integrazioni Drift, Salesloft o Salesforce, potresti essere colpito da questa violazione. I ricercatori di sicurezza raccomandano di revocare tutti i token OAuth immediatamente e controllare le app connesse. Non aspettare la conferma della compromissione — presumila e agisci ora.

Se non lo fai, gli aggressori potrebbero usare questi token per accedere ai tuoi ambienti online.

Cronologia dell’attacco Salesloft Drift

Salesloft ha divulgato per la prima volta un problema di sicurezza che colpiva le integrazioni Drift(nuova finestra) il 20 agosto.

Il 26 agosto, il Threat Intelligence Group di Google ha rilasciato risultati(nuova finestra) confermando che gli aggressori avevano sfruttato token OAuth rubati a Salesloft per accedere alle istanze Salesforce ed esfiltrare grandi quantità di dati.

Il 28 agosto, Google ha aggiunto un aggiornamento secondo cui gli aggressori avevano usato questi token di accesso per accedere anche alle email di “un numero molto piccolo di account Google Workspace” che avevano integrazioni Drift e ha notato che questo hack colpisce quasi tutte le integrazioni Drift. Google sostiene che token di autenticazione validi sono stati rubati anche per Slack, Amazon S3, Microsoft Azure e OpenAI.

Di conseguenza, Google e Salesforce hanno temporaneamente disattivato le loro integrazioni Drift.

Il 1 settembre, Zscaler ha confermato di essere stata compromessa(nuova finestra) usando OAuth e token di aggiornamento rubati nell’attacco Drift. Gli aggressori hanno fatto irruzione nella sua istanza Salesforce e rubato informazioni sensibili dei clienti, inclusi nomi, email, titoli di lavoro, informazioni sull’utilizzo dei prodotti Zscaler e altro.

Questo segue un altro recente attacco alle istanze Salesforce che ha portato a un’ondata di attacchi di phishing contro Gmail e Utenti Google Workspace. Secondo Krebs Security(nuova finestra), c’è disaccordo sul fatto che i due attacchi siano correlati.

Cos’è un attacco alla supply chain?

Un attacco alla supply chain avviene quando gli aggressori inseguono un venditore di terze parti per irrompere nel sistema di un’organizzazione. In questo caso, gli aggressori non hanno violato Gmail o Salesforce direttamente — hanno compromesso i token OAuth dalle integrazioni Drift per accedere ai sistemi connessi.

Uno degli esempi recenti più famigerati di un attacco alla supply chain è quello che è successo con SolarWinds nel 2020(nuova finestra). SolarWinds è un importante fornitore di software per la gestione della rete. Hacker sospettati di essere supportati dalla Russia hanno attaccato SolarWinds, impiantando malware nel suo codice, che è stato poi diffuso a più di 30.000 organizzazioni pubbliche e private durante un aggiornamento standard. È stato probabilmente il più grande attacco alla supply chain di sempre.

Perché i chatbot IA continueranno a essere bersagli

La corsa all’integrazione di agenti IA come Drift in innumerevoli flussi di lavoro in tutti i tipi di aziende ha reso difficile per i team di sicurezza informatica fare il proprio lavoro, e le aziende IA si sono finora dimostrate vulnerabili agli attacchi alla supply chain(nuova finestra). Data l’accelerazione dell’adozione dell’IA, la novità della tecnologia e il fatto che tutti stanno imparando al volo(nuova finestra), questi attacchi diventeranno solo più comuni.

Finché l’ecosistema IA non matura, la mossa più sicura è ridurre al minimo l’accesso, limitare le integrazioni e utilizzare piattaforme progettate per lo zero trust. Gli hacker cercheranno sempre di prendere di mira le debolezze percepite nei perimetri di sicurezza di un’azienda. Integrazioni, piattaforme di terze parti e consulenti esterni sono spesso visti come bersagli attraenti. Scopri di più sulla prevenzione delle violazioni dei dati per le aziende.