Pod koniec sierpnia hakerzy uzyskali dostęp do wewnętrznego działania platformy chatbotów AI i od tego czasu wykorzystują ten dostęp, aby włamywać się do innych aplikacji, od Salesforce po Google Workspace, które firmy zintegrowały z chatbotem.
Drift, agent czatu przejęty przez Salesloft, jest popularny wśród amerykańskich zespołów sprzedaży i marketingu. Integruje się z aplikacjami stron trzecich, aby konwertować odwiedzających stronę internetową na leady sprzedażowe. Chociaż obecnie nie jest jasne, w jaki sposób atakujący włamali się do Salesloft Drift, po dostaniu się tam ukradli tokeny uwierzytelniające, które dały im dostęp do Salesforce, Google Workspace, Slacka, Amazon S3, Microsoft Azure, OpenAI i potencjalnie każdej innej platformy zintegrowanej z Salesloft.
Jeśli Twoja firma korzysta z integracji Drift, Salesloft lub Salesforce, może dotyczyć Cię to naruszenie. Badacze bezpieczeństwa zalecają natychmiastowe unieważnienie wszystkich tokenów OAuth i audyt połączonych aplikacji. Nie czekaj na potwierdzenie, że system jest zagrożony — załóż, że tak jest, i działaj teraz.
Jeśli tego nie zrobisz, atakujący mogą wykorzystać te tokeny, aby uzyskać dostęp do Twoich środowisk online.
Oś czasu ataku Salesloft Drift
Salesloft po raz pierwszy ujawnił problem bezpieczeństwa dotyczący integracji Drift(nowe okno) 20 sierpnia.
26 sierpnia Threat Intelligence Group Google’a opublikowała ustalenia(nowe okno) potwierdzające, że atakujący wykorzystali tokeny OAuth skradzione z Salesloft, aby uzyskać dostęp do instancji Salesforce i wyprowadzić duże ilości danych.
28 sierpnia Google dodało aktualizację, że atakujący użyli tych tokenów dostępu, aby uzyskać dostęp również do wiadomości e-mail „bardzo małej liczby kont Google Workspace”, które miały integracje Drift, i odnotowało, że ten atak dotyczy prawie wszystkich integracji Drift. Google twierdzi, że ważne tokeny uwierzytelniające zostały również skradzione dla Slacka, Amazon S3, Microsoft Azure i OpenAI.
W rezultacie Google i Salesforce tymczasowo wyłączyły swoje integracje Drift.
1 września Zscaler potwierdził, że został skompromitowany(nowe okno) przy użyciu tokenów OAuth i odświeżania skradzionych w ataku Drift. Atakujący włamali się do jego instancji Salesforce i ukradli wrażliwe informacje o klientach, w tym nazwiska, adresy e-mail, nazwy stanowisk, informacje o użyciu produktów Zscaler i inne.
Następuje to po innym niedawnym ataku na instancje Salesforce, który doprowadził do gwałtownego wzrostu ataków phishingowych na użytkowników Gmaila i Google Workspace. Według Krebs Security(nowe okno) istnieje różnica zdań co do tego, czy te dwa ataki są powiązane.
Czym jest atak na łańcuch dostaw?
Atak na łańcuch dostaw ma miejsce, gdy atakujący biorą na cel zewnętrznego dostawcę, aby włamać się do systemu organizacji. W tym przypadku atakujący nie naruszyli bezpośrednio Gmaila ani Salesforce — skompromitowali tokeny OAuth z integracji Drift, aby uzyskać dostęp do połączonych systemów.
Jednym z najbardziej niesławnych ostatnich przykładów ataku na łańcuch dostaw jest to, co stało się z SolarWinds w 2020 roku(nowe okno). SolarWinds to główny dostawca oprogramowania do zarządzania siecią. Podejrzewani o wsparcie Rosji hakerzy zaatakowali SolarWinds, wszczepiając złośliwe oprogramowanie do jego kodu, które następnie rozprzestrzeniło się na ponad 30 000 organizacji publicznych i prywatnych podczas standardowej aktualizacji. Był to prawdopodobnie największy atak na łańcuch dostaw w historii.
Dlaczego chatboty AI nadal będą celami
Pęd do integrowania agentów AI, takich jak Drift, z niezliczonymi przepływami pracy w najróżniejszych firmach utrudnił zespołom ds. cyberbezpieczeństwa wykonywanie ich pracy, a firmy AI okazały się dotychczas podatne na ataki na łańcuch dostaw(nowe okno). Biorąc pod uwagę przyspieszenie adopcji AI, nowość technologii i fakt, że wszyscy uczą się w locie(nowe okno), te ataki będą stawać się tylko częstsze.
Dopóki ekosystem AI nie dojrzeje, najbezpieczniejszym ruchem jest minimalizowanie dostępu, ograniczanie integracji i korzystanie z platform zaprojektowanych pod kątem zero trust. Hakerzy zawsze będą szukać postrzeganych słabości w zabezpieczeniach firmy. Integracje, platformy stron trzecich i zewnętrzni konsultanci są często postrzegani jako atrakcyjne cele. Dowiedz się więcej o zapobieganiu naruszeniom danych w firmach.
