I slutet av augusti fick hackare åtkomst till det inre arbetet i en AI-chatbotplattform, och sedan dess har de använt denna åtkomst för att bryta sig in i andra appar, från Salesforce till Google Workspace, som företag har integrerat med chatboten.

Drift, en chatbot-agent förvärvad av Salesloft, är populär bland amerikanska sälj- och marknadsföringsteam. Den integreras med appar från tredje part för att omvandla webbplatsbesökare till säljleads. Även om det för närvarande är oklart hur angriparna bröt sig in i Salesloft Drift, stal de autentiseringstokens när de väl var där som gav dem åtkomst till Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure, OpenAI och potentiellt alla andra plattformar som integreras med Salesloft.

Om ditt företag använder Drift-, Salesloft- eller Salesforce-integrationer kan du påverkas av detta intrång. Säkerhetsforskare rekommenderar att du återkallar alla OAuth-tokens omedelbart och granskar anslutna appar. Vänta inte på bekräftelse av att du är drabbad – förutsätt det och agera nu.

Om du inte gör det kan angripare använda dessa tokens för att få åtkomst till dina onlinemiljöer.

Tidslinje för attacken mot Salesloft Drift

Salesloft avslöjade först ett säkerhetsproblem som påverkade Drift-integrationer(nytt fönster) den 20 augusti.

Den 26 augusti publicerade(nytt fönster) Googles Threat Intelligence Group rön som bekräftade att angripare hade utnyttjat OAuth-token stulna från Salesloft för att få åtkomst till Salesforce-instanser och exfiltrera stora mängder data.

Den 28 augusti lade Google till en uppdatering om att angriparna hade använt dessa åtkomsttokens för att också få åtkomst till e-postmeddelanden för “ett mycket litet antal Google Workspace-konton” som hade Drift-integrationer och noterade att detta hack påverkar nästan alla Drift-integrationer. Google hävdar att giltiga autentiseringstokens också stals för Slack, Amazon S3, Microsoft Azure och OpenAI.

Som ett resultat har Google och Salesforce tillfälligt inaktiverat sina Drift-integrationer.

Den 1 september bekräftade Zscaler att de hade blivit komprometterade(nytt fönster) med hjälp av OAuth- och uppdateringstokens som stulits i Drift-attacken. Angriparna bröt sig in i dess Salesforce-instans och stal känslig kundinformation, inklusive namn, e-postadresser, jobbtitlar, information om Zscaler-produktanvändning och mer.

Detta följer efter en annan nyligen inträffad attack mot Salesforce-instanser som har lett till en ökning av nätfiskeattacker mot Gmail och Google Workspace-användare. Enligt Krebs Security(nytt fönster) råder oenighet om huruvida de två attackerna är relaterade.

Vad är en leverantörskedjeattack?

En leverantörskedjeattack är när angripare går efter en leverantör från tredje part för att bryta sig in i en organisations system. I det här fallet bröt angriparna inte direkt mot Gmail eller Salesforce – de kom över OAuth-tokens från Drift-integrationer för att få åtkomst till anslutna system.

Ett av de mest ökända exemplen på en leverantörskedjeattack på senare tid är vad som hände med SolarWinds 2020(nytt fönster). SolarWinds är en stor mjukvaruleverantör för nätverkshantering. Misstänkta ryskstödda hackare attackerade SolarWinds och implanterade skadlig kod i dess kod, som sedan spreds till mer än 30 000 offentliga och privata organisationer under en standarduppdatering. Det var sannolikt den största leverantörskedjeattacken någonsin.

Varför AI-chatbots kommer att fortsätta vara mål

Rusningen efter att integrera AI-agenter som Drift i otaliga arbetsflöden hos alla sorters företag har gjort det svårt för cybersäkerhetsteam att göra sina jobb, och AI-företag har hittills visat sig vara sårbara för leverantörskedjeattacker(nytt fönster). Med tanke på accelerationen av AI-användning, teknikens nyhet och det faktum att alla lär sig under tiden(nytt fönster), kommer dessa attacker bara att bli vanligare.

Tills AI-ekosystemet mognar är det säkraste draget att minimera åtkomst, begränsa integrationer och använda plattformar som är designade för zero trust. Hackare kommer alltid att försöka rikta in sig på upplevda svagheter i ett företags säkerhetsperimeter. Integrationer, plattformar från tredje part och externa konsulter ses ofta som attraktiva mål. Lär dig mer om förebyggande av dataintrång för företag.