Google, Salesloft'un yapay zeka destekli sohbet aracı Drift'i kullananlara yönelik güvenlik uyarısında bulundu. Şirket, platformla ilişkili tüm güvenlik belirteçlerinin (token) ele geçirilmiş olabileceği uyarısını yaptı. Saldırganların, ele geçirilen kimlik bilgileriyle Google Workspace hesaplarına erişim sağlayarak e-posta verilerini çaldığı ortaya çıktı.
Bu gelişme üzerine Google, ihlallerde kullanılan belirteçleri geçersiz kıldığını ve daha fazla inceleme yapılana kadar Salesloft Drift aracı ile tüm Workspace hesapları arasındaki entegrasyonları devre dışı bıraktığını duyurdu. Ayrıca, etkilenen tüm hesap sahipleri de bu veri sızıntısı hakkında bilgilendirildi.
Kapsam Genişledi
Salı günü ilk kez duyurulan Salesloft Drift ihlalinin, Perşembe günü yayınlanan bir bilgilendirme güncellemesiyle daha önce bilinenin aksine daha geniş bir alanı kapsadığı anlaşıldı. Google Tehdit İstihbaratı Grubu üyeleri, başlangıçta ele geçirilen belirteçlerin sadece Salesloft Drift'in Salesforce ile olan entegrasyonlarıyla sınırlı olduğunu belirtmişti. Ancak Workspace hesaplarının da etkilenmesi, Google'ın bu değerlendirmeyi değiştirmesine neden oldu.
Perşembe günkü güncellemede, "GTIG tarafından belirlenen yeni bilgilere dayanarak, bu ihlalin kapsamı yalnızca Salesloft Drift'in Salesforce entegrasyonu ile sınırlı değildir ve diğer entegrasyonları da etkilemektedir. Tüm Salesloft Drift müşterilerinin, Drift platformunda saklanan veya bu platforma bağlı olan tüm kimlik doğrulama belirteçlerini potansiyel olarak tehlikede olarak değerlendirmelerini tavsiye ediyoruz" denildi.
Salı günkü bilgilendirmenin ardından Salesloft'un güvenlik bilgilendirme sayfasında yeni gelişmelerle ilgili bir güncelleme yer almadı ve ihlalin yalnızca Drift'in Salesforce ile olan entegrasyonlarını etkilediği belirtilmeye devam etti. Şirket yetkilileri, Google'ın bulgularını doğrulamak için gönderilen e-postalara hemen yanıt vermedi.
Salesloft Drift, web sitelerinin potansiyel müşterilerle gerçek zamanlı, insan benzeri etkileşimler sunmasını sağlayan yapay zeka destekli bir sohbet aracıdır. Salesloft, yaklaşık 18 ay önce Drift platformunu bünyesine katmıştı. Satış süreçlerini kolaylaştırmak amacıyla Drift, Salesforce (Salesloft ile ilgisi yoktur) ve diğer müşteri ilişkileri yönetimi platformları, Slack, Google Workspace ve daha birçok hizmetle entegre olabilmektedir.
Google, Salı günü yaptığı açıklamada, takip ettiği UNC6395 adlı bir saldırı grubunun, ele geçirilen Drift OAuth belirteçlerini kullanarak Salesforce örneklerine eriştiği ve kitlesel veri hırsızlığı kampanyası yürüttüğünü belirtmişti. Saldırganlar, sisteme girdikten sonra Salesforce hesaplarında saklanan hassas verilere erişmiş ve AWS ile Snowflake gibi hizmetlerdeki hesaplara erişim için kullanılabilecek kimlik bilgileri aramıştı. Veri hırsızlığının en geç 8 Ağustos'ta başladığı ve en az 18 Ağustos'a kadar sürdüğü bildirildi. Bu gelişme üzerine Salesforce, Drift'in ana bulut hizmetiyle entegrasyonlarını ve ayrıca Slack ile Pardot platformlarıyla olan bağlantılarını devre dışı bırakmıştı.
Google'ın Perşembe günkü güncellemesi, olayın henüz tam olarak kontrol altına alınamadığını gösteriyor.
Güncellemede ayrıca, "Kuruluşların, Drift örneklerine bağlı tüm üçüncü taraf entegrasyonlarını gözden geçirmesini, bu uygulamalar için kimlik bilgilerini iptal etmesini ve döndürmesini ve yetkisiz erişim belirtileri için tüm bağlı sistemleri araştırmasını önemle tavsiye ederiz" ifadesine yer verildi. Salesloft'un şu anda olayı araştırmak üzere Google'a ait Mandiant olay müdahale hizmetini tuttuğu da belirtildi.
