Как защитить свою компанию после атаки на Salesloft Drift

В конце августа хакеры получили доступ к внутренней работе платформы чат-ботов с ИИ, и с тех пор они используют этот доступ для взлома других приложений, от Salesforce до Google Workspace, которые компании интегрировали с чат-ботом.

Drift, агент-чат-бот, приобретенный Salesloft, популярен среди американских команд по продажам и маркетингу. Он интегрируется со сторонними приложениями для преобразования посетителей веб-сайта в потенциальных клиентов. Хотя в настоящее время неясно, как злоумышленники проникли в Salesloft Drift, оказавшись там, они украли токены аутентификации, которые дали им доступ к Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure, OpenAI и, возможно, любой другой платформе, которая интегрируется с Salesloft.

Если ваша компания использует интеграции Drift, Salesloft или Salesforce, вы можете быть затронуты этой утечкой. Исследователи безопасности рекомендуют немедленно отозвать все токены OAuth и провести аудит подключенных приложений. Не ждите подтверждения компрометации — исходите из того, что она произошла, и действуйте сейчас.

Если вы этого не сделаете, злоумышленники могут использовать эти токены для доступа к вашим онлайн-средам.

Хронология атаки на Salesloft Drift

Salesloft впервые раскрыла проблему безопасности, затрагивающую интеграции Drift(новое окно), 20 августа.

26 августа Группа анализа угроз Google опубликовала выводы(новое окно), подтверждающие, что злоумышленники использовали токены OAuth, украденные у Salesloft, для доступа к экземплярам Salesforce и кражи больших объемов данных.

28 августа Google добавила обновление, в котором говорилось, что злоумышленники использовали эти токены доступа также для доступа к электронной почте “очень небольшого количества аккаунтов Google Workspace”, у которых были интеграции Drift, и отметила, что этот взлом затрагивает почти все интеграции Drift. Google утверждает, что действительные токены аутентификации также были украдены для Slack, Amazon S3, Microsoft Azure и OpenAI.

В результате Google и Salesforce временно отключили свои интеграции Drift.

1 сентября Zscaler подтвердила, что была скомпрометирована(новое окно) с использованием токенов OAuth и токенов обновления, украденных в ходе атаки на Drift. Злоумышленники проникли в ее экземпляр Salesforce и украли чувствительную информацию клиентов, включая имена, электронные письма, должности, информацию об использовании продуктов Zscaler и многое другое.

Это следует за еще одной недавней атакой на экземпляры Salesforce, которая привела к всплеску фишинговых атак против пользователей Gmail и Google Workspace. По данным Krebs Security(новое окно), существуют разногласия по поводу того, связаны ли эти две атаки.

Что такое атака на цепочку поставок?

Атака на цепочку поставок — это когда злоумышленники преследуют стороннего поставщика, чтобы проникнуть в систему организации. В этом случае злоумышленники не взламывали Gmail или Salesforce напрямую — они скомпрометировали токены OAuth из интеграций Drift для доступа к подключенным системам.

Один из самых печально известных недавних примеров атаки на цепочку поставок — то, что произошло с SolarWinds в 2020 году(новое окно). SolarWinds — крупный поставщик программного обеспечения для управления сетями. Подозреваемые поддерживаемые Россией хакеры атаковали SolarWinds, внедрив вредоносное ПО в его код, который затем распространился на более чем 30 000 государственных и частных организаций во время стандартного обновления. Вероятно, это была крупнейшая атака на цепочку поставок в истории.

Почему чат-боты с ИИ будут продолжать оставаться мишенями

Спешка с интеграцией ИИ-агентов, таких как Drift, в бесчисленные рабочие процессы во всех типах компаний затруднила выполнение работы командам кибербезопасности, а компании ИИ до сих пор оказывались уязвимыми для атак на цепочки поставок(новое окно). Учитывая ускорение внедрения ИИ, новизну технологии и тот факт, что все учатся на ходу(новое окно), эти атаки будут только становиться более распространенными.

Пока экосистема ИИ не созреет, самый безопасный шаг — минимизировать доступ, ограничить интеграции и использовать платформы, разработанные для нулевого доверия. Хакеры всегда будут стремиться атаковать предполагаемые слабости в периметрах безопасности компании. Интеграции, сторонние платформы и внешние консультанты часто рассматриваются как привлекательные цели. Узнайте больше о предотвращении утечек данных для бизнеса.