Google potvrdil únik, hekeri sa dostali k firemným Gmail účtom

Útočníci sa opäť raz postarali o nepríjemné prebudenie firiem, ktoré si až doteraz mysleli, že ich SaaS ekosystém je bezpečný. Zistilo sa, že kompromitované integračné tokeny Salesloft Driftu neboli využité len na prístup k Salesforce, ale aj k e-mailovým schránkam Google Workspace.

Útočníci tak získali prístup k časti firemnej komunikácie, a to prostredníctvom účtov, ktoré boli priamo prepojené s Drift Email.

Četovací AI agent Drift umožňuje firmám viesť automatizované rozhovory so zákazníkmi v reálnom čase. Pred 18 mesiacmi ho odkúpila spoločnosť Salesloft, ktorá sa taktiež orientuje na automatizáciu predaja. Aby bol Drift efektívny, integruje sa s množstvom ďalších nástrojov, ako napríklad Salesforce, Slackom či Google Workspace. Práve tieto prepojenia sa stali vstupnou bránou pre útočníkov.

Podľa Google stála za útokmi skupina označovaná ako UNC6395, ktorá od 8. do 18. augusta systematicky exportovala veľké množstvo dát zo Salesforce inštancií. Ich cieľom neboli iba obchodné údaje, ale predovšetkým prihlasovacie údaje a prístupové kľúče, ktoré by im umožnili dostať sa do ďalších systémov, ako sú Amazon Web Services alebo Snowflake. Nové zistenia ukázali, že sa rovnakým spôsobom podarilo zneužiť aj integráciu Driftu s Google Workspace.

Na ochranu používateľov Google zablokoval kompromitované tokeny, dočasne vypol integráciu Workspace s Driftom a začal upozorňovať správcov dotknutých účtov. Salesforce medzitým odstránil Drift z AppExchange a Salesloft si prizval na vyšetrovanie incident response tím Mandiant. Samotné platformy Google Workspace ani Salesforce neboli priamo kompromitované, problém sa týkal výlučne integrácie cez Drift.

Google odporúča všetkým organizáciám, ktoré používajú Drift, aby okamžite skontrolovali všetky napojené integrácie, zrušili a obnovili prístupové kľúče a preskúmali systémy pre prípadné známky neoprávneného prístupu.

Popri tomto útoku Google zverejnil aj širšie odporúčania pre používateľov Gmailu. Podľa údajov spoločnosti až 37 percent úspešných prevzatí účtov súvisí s ukradnutými alebo oslabenými heslami, pričom 64 percent používateľov svoje heslá nemení pravidelne. Útočníci pritom čoraz častejšie využívajú phishingové e-maily a dokonca aj telefonáty, pri ktorých sa vydávajú za podporu Googlu, aby od obetí vylákali heslá či kódy dvojfaktorovej autentifikácie.

Google preto zároveň odporúča aj prechod na modernejšie formy prihlasovania, ako sú napr. passkeys, ktoré fungujú na báze biometrie alebo PIN kódu zariadenia a sú odolné voči phishingu. Používateľom sa tiež odporúča nahradiť SMS kódy autentifikačnými aplikáciami, ktoré generujú jednorazové kódy nezávislé od mobilného operátora.

Hoci Salesloft deklaruje, že v integráciách Salesloftu sa zatiaľ nepreukázala škodlivá aktivita, prevádzka závislá od CRM prepojenia je obmedzená, kým sa spojenie so Salesforce bezpečne neobnoví. Medzitým zostávajú k dispozícii core funkcie Salesloftu, vrátane zasielania e-mailov aj telefonovania cez aplikáciu.