Ce qui semblait initialement une attaque limitée contre les intégrations concrets a fini par être un incident plus important. Google a reconnu que la violation de la sécurité qui a affecté Salesloft Drift et Salesforce Non seulement il a compromis Jetons oauth Liés à ses intégrations, mais a également eu un impact sur un petit nombre de comptes de Google Workspace, ce qui augmente la gravité de l’affaire.
D’un incident ponctuel à un problème plus large
Le La première alerte est arrivée le 26 aoûtlorsque l’équipe de renseignement de Google, Mandiant (GTIG), a rapporté qu’un groupe d’attaquants avait volé des jetons OAuth liés à l’intégration du chat Drift IA dans Salesforce. À cette époque, tout indiquait une attaque visant cette connexion spécifique.
Les cybercouns, identifiés par Google avec le code unc6395ils ont utilisé ces jetons pour se faufiler dans les cas de Salesforce de plusieurs organisations. Une fois à l’intérieur, ils ont exécuté des consultations dans des tableaux critiques tels que les cas, les comptes, les utilisateurs et les opportunités, ce qui leur a permis d’examiner massivement les informations délicates stockées dans les billets et les messages du support client. Parmi ces données, il y avait Clés d’accès AWS, jetons de flocon de neige et mots de passe Que, entre de mauvaises mains, ils peuvent ouvrir la porte à de nouvelles attaques sur d’autres plates-formes cloud.
Google confirme que l’attaque a également touché ses terres
Dans la mise à jour publiée aujourd’hui, Google a dû reconnaître que l’engagement n’est pas resté dans Salesforce. Selon les données recueillies, Les attaquants ont également réussi à voler des jetons OAuth associés à l’intégration de la dérive par e-mailet le 9 août, ils ont utilisé ces titres de compétences pour Accéder à l’e-mail d’un «très petit nombre» de comptes d’espace de travail Google connecté directement à la dérive.
La société insiste sur le fait que l’impact a été limité et qu’aucun autre compte dans les domaines affectés n’a été compromis. Il n’y a pas non plus de preuve que Google Workspace ou l’infrastructure principale d’Alphabet a subi des dommages. En tant que mesure immédiate, Google a révoqué les jetons volés, a informé les clients affectés et a désactivé l’intégration entre le courrier électronique Drift et Google Workspace Tout en continuant à analyser ce qui s’est passé.
Recommandations et mesures préventives
Le message de Google est clair: toutes les organisations qui utilisent la dérive devraient considérer tous les jetons d’authentification stockés ou liés à la plate-forme engagée. La recommandation passe par révoquer et faire tourner les référencesainsi que Audit les systèmes connectés pour identifier les éventuels accès non autorisés.
De plus, ils conseillent Les tiers intégrations des tiers intégrations examinent soigneusement Qu’ils travaillent à côté de dériver, vérifiez s’il y a des secrets ou des informations d’identification exposés et les restaurer immédiatement en cas de doute. L’objectif est d’empêcher les attaquants de réutiliser l’accès privilégié pour étendre la portée de l’intrusion.
Salesforce et Salesloft réagissent également
Non seulement Google a dû bouger. SalesLoft a mis à jour son avis officiel le 28 aoûtconfirmant que Salesforce a choisi de désactiver les intégrations de Drift avec Salesforce, Slack et Pardot temporairement, jusqu’à la fin de l’enquête en cours.
SalesLoft elle-même a renforcé son équipe de réponse avec la collaboration de Mandiant et de la coalitiondeux entreprises de référence dans le domaine de la cybersécurité. L’objectif est le double: contenir des dommages possibles et garantissent à ses clients qu’ils travaillent soigneusement pour empêcher quelque chose comme ça.
Un rappel de la fragile des intégrations
Cette affaire met sur la table l’un des grands défis des logiciels commerciaux modernes: Intégrations entre les plateformes. La connexion des outils gagne du temps et facilite les processus, mais multiplie également les points d’entrée qu’un attaquant peut exploiter. Un seul jeton volé Oauth peut devenir la clé principale pour accéder aux données critiques dans différents services.
Pour l’instant, l’impact direct sur les clients semble contenu, mais le fait que l’écart a même atteint Google Workspace est une touche d’attention. La recommandation pour les organisations est claire: examen, audit et ne pas donner en toute sécurité les intégrations de tiers sans contrôle constant.
