Como proteger a sua empresa após o ataque ao Salesloft Drift

No final de agosto, hackers ganharam acesso ao funcionamento interno de uma plataforma de chatbot de IA, e desde então têm usado esse acesso para entrar noutras aplicações, desde a Salesforce ao Google Workspace, que as empresas integraram com o chatbot.

O Drift, um agente de chatbot adquirido pela Salesloft, é popular entre as equipas de vendas e marketing americanas. Integra-se com aplicações de terceiros para converter visitantes de sítios web em leads de vendas. Embora não seja atualmente claro como os atacantes entraram no Salesloft Drift, uma vez lá, roubaram tokens de autenticação que lhes deram acesso à Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure, OpenAI e potencialmente qualquer outra plataforma que se integre com o Salesloft.

Se a sua empresa usa integrações Drift, Salesloft ou Salesforce, pode ser afetada por este incidente. Investigadores de segurança recomendam que revogue todos os tokens OAuth imediatamente e audite as aplicações ligadas. Não espere pela confirmação de comprometimento — assuma-o e aja agora.

Se não o fizer, os atacantes podem usar estes tokens para aceder aos seus ambientes online.

Cronograma do ataque ao Salesloft Drift

A Salesloft divulgou pela primeira vez um problema de segurança a afetar as integrações Drift(nova janela) a 20 de agosto.

A 26 de agosto, o Grupo de Inteligência de Ameaças da Google lançou conclusões(nova janela) a confirmar que os atacantes tinham explorado tokens OAuth roubados do Salesloft para aceder a instâncias Salesforce e exfiltrar grandes quantidades de dados.

A 28 de agosto, a Google adicionou uma atualização de que os atacantes tinham usado estes tokens de acesso para também aceder aos e-mails de “um número muito pequeno de contas Google Workspace” que tinham integrações Drift e observou que este hack afeta quase todas as integrações Drift. A Google afirma que tokens de autenticação válidos também foram roubados para o Slack, Amazon S3, Microsoft Azure e OpenAI.

Como resultado, a Google e a Salesforce desativaram temporariamente as suas integrações Drift.

A 1 de setembro, a Zscaler confirmou que tinha sido comprometida(nova janela) usando OAuth e tokens de atualização roubados no ataque Drift. Os atacantes entraram na sua instância Salesforce e roubaram informações sensíveis de clientes, incluindo nomes, e-mails, cargos, informações de uso de produtos Zscaler e mais.

Isto segue-se a outro ataque recente a instâncias Salesforce que levou a um aumento nos ataques de phishing contra utilizadores do Gmail e Google Workspace. De acordo com a Krebs Security(nova janela), há desacordo sobre se os dois ataques estão relacionados.

O que é um ataque à cadeia de fornecimento?

Um ataque à cadeia de fornecimento é quando os atacantes vão atrás de um fornecedor terceiro para entrar no sistema de uma organização. Neste caso, os atacantes não violaram o Gmail ou a Salesforce diretamente — comprometeram tokens OAuth de integrações Drift para aceder a sistemas ligados.

Um dos exemplos recentes mais infames de um ataque à cadeia de fornecimento é o que aconteceu com a SolarWinds em 2020(nova janela). A SolarWinds é um grande fornecedor de software para gestão de rede. Hackers suspeitos de serem apoiados pela Rússia atacaram a SolarWinds, implantando malware no seu código, que foi então espalhado para mais de 30.000 organizações públicas e privadas durante uma atualização padrão. Foi provavelmente o maior ataque à cadeia de fornecimento de sempre.

Porque os chatbots de IA continuarão a ser alvos

A corrida para integrar agentes de IA como o Drift em inúmeros fluxos de trabalho em todos os tipos de empresas tornou difícil para as equipas de cibersegurança fazerem o seu trabalho, e as empresas de IA provaram até agora ser vulneráveis a ataques à cadeia de fornecimento(nova janela). Dada a aceleração da adoção de IA, a novidade da tecnologia e o facto de que todos estão a aprender na hora(nova janela), estes ataques tornar-se-ão apenas mais comuns.

Até que o ecossistema de IA amadureça, a jogada mais segura é minimizar o acesso, limitar as integrações e usar plataformas que sejam concebidas para zero trust. Os hackers procurarão sempre visar fraquezas percebidas nos perímetros de segurança de uma empresa. Integrações, plataformas de terceiros e consultores externos são frequentemente vistos como alvos atraentes. Saiba mais sobre prevenção de incidentes de dados para empresas.