La sfârșitul lunii august, hackerii au obținut acces la funcționarea internă a unei platforme de chatbot AI, iar de atunci au folosit acest acces pentru a sparge alte aplicații, de la Salesforce la Google Workspace, pe care companiile le-au integrat cu chatbot-ul.

Drift, un agent chatbot achiziționat de Salesloft, este popular printre echipele de vânzări și marketing americane. Se integrează cu aplicații terțe pentru a converti vizitatorii site-ului web în oportunități de vânzare. Deși momentan nu este clar cum au pătruns atacatorii în Salesloft Drift, odată ajunși acolo, au furat token-uri de autentificare care le-au oferit acces la Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure, OpenAI și potențial orice altă platformă care se integrează cu Salesloft.

Dacă compania dvs. utilizează integrări Drift, Salesloft sau Salesforce, s-ar putea să fiți afectat de această încălcare. Cercetătorii în securitate recomandă să revocați imediat toate token-urile OAuth și să auditați aplicațiile conectate. Nu așteptați confirmarea compromiterii — asumați-o și acționați acum.

Dacă nu o faceți, atacatorii ar putea folosi aceste token-uri pentru a vă accesa mediile online.

Cronologia atacului Salesloft Drift

Salesloft a dezvăluit prima dată o problemă de securitate afectând integrările Drift(fereastră nouă) pe 20 august.

Pe 26 august, Grupul de Informații despre Amenințări al Google a lansat constatări(fereastră nouă) confirmând că atacatorii au exploatat token-uri OAuth furate de la Salesloft pentru a accesa instanțe Salesforce și a exfiltra cantități mari de date.

Pe 28 august, Google a adăugat o actualizare conform căreia atacatorii au folosit aceste coduri de acces pentru a accesa și e-mailurile unui „număr foarte mic de conturi Google Workspace” care aveau integrări Drift și a notat că acest hack afectează aproape toate integrările Drift. Google susține că token-uri de autentificare valide au fost furate și pentru Slack, Amazon S3, Microsoft Azure și OpenAI.

Ca rezultat, Google și Salesforce și-au dezactivat temporar integrările Drift.

Pe 1 septembrie, Zscaler a confirmat că a fost compromis(fereastră nouă) folosind token-uri OAuth și de reîmprospătare furate în atacul Drift. Atacatorii au pătruns în instanța sa Salesforce și au furat informații sensibile ale clienților, inclusiv nume, e-mailuri, titluri de post, informații despre utilizarea produselor Zscaler și multe altele.

Aceasta urmează unui alt atac recent asupra instanțelor Salesforce care a dus la o creștere a atacurilor de phishing împotriva utilizatorilor Gmail și Google Workspace. Conform Krebs Security(fereastră nouă), există dezacord cu privire la faptul dacă cele două atacuri sunt legate.

Ce este un atac asupra lanțului de aprovizionare?

Un atac asupra lanțului de aprovizionare este atunci când atacatorii vizează un furnizor terț pentru a pătrunde în sistemul unei organizații. În acest caz, atacatorii nu au încălcat Gmail sau Salesforce direct — au compromis token-uri OAuth din integrările Drift pentru a accesa sistemele conectate.

Unul dintre cele mai infame exemple recente ale unui atac asupra lanțului de aprovizionare este ceea ce s-a întâmplat cu SolarWinds în 2020(fereastră nouă). SolarWinds este un furnizor major de software pentru gestionarea rețelei. Hackeri suspectați a fi susținuți de Rusia au atacat SolarWinds, implantând malware în codul său, care a fost apoi răspândit la peste 30.000 de organizații publice și private în timpul unei actualizări standard. A fost probabil cel mai mare atac asupra lanțului de aprovizionare vreodată.

De ce chatbot-urile AI vor continua să fie ținte

Graba de a integra agenți AI precum Drift în nenumărate fluxuri de lucru în tot felul de companii a făcut dificil pentru echipele de securitate cibernetică să-și facă treaba, iar companiile AI s-au dovedit până acum a fi vulnerabile la atacuri asupra lanțului de aprovizionare(fereastră nouă). Având în vedere accelerarea adoptării AI, noutatea tehnologiei și faptul că toată lumea învață din mers(fereastră nouă), aceste atacuri vor deveni doar mai comune.

Până când ecosistemul AI se maturizează, cea mai sigură mișcare este să minimizați accesul, să limitați integrările și să utilizați platforme care sunt concepute pentru încredere zero. Hackerii vor căuta mereu să vizeze slăbiciunile percepute în perimetrele de securitate ale unei companii. Integrările, platformele terțe și consultanții externi sunt adesea văzuți ca ținte atractive. Aflați mai multe despre prevenirea încălcării datelor pentru afaceri.