I slutten av august fikk hackere tilgang til de indre funksjonene til en KI-chatrobot-plattform, og siden den gang har de brukt denne tilgangen til å bryte seg inn i andre apper, fra Salesforce til Google Workspace, som selskaper har integrert med chatroboten.

Drift, en chatrobot-agent kjøpt opp av Salesloft, er populær blant amerikanske salgs- og markedsføringsteam. Den integreres med tredjepartsapper for å konvertere besøkende på nettstedet til salgsmuligheter. Selv om det for øyeblikket er uklart hvordan angriperne brøt seg inn i Salesloft Drift, stjal de vel inne autentiseringstokener som ga dem tilgang til Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure, OpenAI og potensielt alle andre plattformer som integreres med Salesloft.

Hvis bedriften din bruker Drift-, Salesloft- eller Salesforce-integrasjoner, kan du bli påvirket av dette bruddet. Sikkerhetsforskere anbefaler at du tilbakekaller alle OAuth-tokener umiddelbart og reviderer tilkoblede apper. Ikke vent på bekreftelse på kompromittering – anta at det har skjedd og handle nå.

Hvis du ikke gjør det, kan angripere bruke disse tokenene til å få tilgang til dine påloggede miljøer.

Tidslinje for Salesloft Drift-angrep

Salesloft avslørte først et sikkerhetsproblem som påvirket Drift-integrasjoner(nytt vindu) 20. august.

Den 26. august ga Googles Threat Intelligence Group ut funn(nytt vindu) som bekreftet at angripere hadde utnyttet OAuth-tokener stjålet fra Salesloft for å få tilgang til Salesforce-instanser og eksfiltrere store mengder data.

Den 28. august la Google til en oppdatering om at angriperne hadde brukt disse tilgangstokenene for å også få tilgang til e-postene til “et veldig lite antall Google Workspace-kontoer” som hadde Drift-integrasjoner, og bemerket at denne hackingen påvirker nesten alle Drift-integrasjoner. Google hevder at gyldige autentiseringstokener også ble stjålet for Slack, Amazon S3, Microsoft Azure og OpenAI.

Som et resultat har Google og Salesforce midlertidig deaktivert sine Drift-integrasjoner.

1. september bekreftet Zscaler at de hadde blitt kompromittert(nytt vindu) ved hjelp av OAuth og oppdateringstokener stjålet i Drift-angrepet. Angriperne brøt seg inn i Salesforce-instansen deres og stjal sensitiv kundeinformasjon, inkludert navn, e-poster, jobbtitler, informasjon om Zscaler-produktbruk og mer.

Dette følger et annet nylig angrep på Salesforce-instanser som har ført til en økning i nettfisking-angrep mot Gmail- og Google Workspace-brukere. Ifølge Krebs Security(nytt vindu) er det uenighet om hvorvidt de to angrepene henger sammen.

Hva er et forsyningskjedeangrep?

Et forsyningskjedeangrep er når angripere går etter en tredjepartsleverandør for å bryte seg inn i en organisasjons system. I dette tilfellet brøt ikke angriperne seg direkte inn i Gmail eller Salesforce – de kompromitterte OAuth-tokener fra Drift-integrasjoner for å få tilgang til tilkoblede systemer.

Et av de mest beryktede nylige eksemplene på et forsyningskjedeangrep er det som skjedde med SolarWinds i 2020(nytt vindu). SolarWinds er en stor programvareleverandør for nettverksadministrasjon. Mistenkte russisk-støttede hackere angrep SolarWinds og plantet inn skadelig programvare i koden, som deretter ble spredt til mer enn 30 000 offentlige og private organisasjoner under en standardoppdatering. Det var sannsynligvis det største forsyningskjedeangrepet noensinne.

Hvorfor KI-chatroboter vil fortsette å være mål

Hastverket med å integrere KI-agenter som Drift i utallige arbeidsflyter på tvers av alle slags selskaper har gjort det vanskelig for cybersikkerhetsteam å gjøre jobbene sine, og KI-selskaper har så langt vist seg å være sårbare for forsyningskjedeangrep(nytt vindu). Gitt akselerasjonen av KI-adopsjon, teknologiens nyhet og det faktum at alle lærer underveis(nytt vindu), vil disse angrepene bare bli vanligere.

Inntil KI-økosystemet modnes, er det tryggeste grepet å minimere tilgang, begrense integrasjoner og bruke plattformer som er designet for null tillit. Hackere vil alltid prøve å sikte seg mot oppfattede svakheter i et selskaps sikkerhetsområder. Integrasjoner, tredjepartsplattformer og eksterne konsulenter blir ofte sett på som attraktive mål. Finn ut mer om forhindring av databrudd for bedrifter.