Масштабная кража ключей подтверждения у разработчика корпоративного чат-бота поставило под угрозу ряд интернет-компаний

Согласно предупреждению от Google, случай затрагивает не только данные в Salesforce, но и сотни сторонних услуг, работающих со Salesloft — включая Slack, Google Workspace, Amazon S3, Microsoft Azure и OpenAI .Об этом пишет Securitylab.

Salesloft, обслуживающая более 5000 клиентов, 20 августа сообщила об обнаружении проблемы в приложении Drift — именно эта технология лежит в основе чатбота, повсеместно используемого на корпоративных сайтах. В предупреждении пользователей призывали переподключить Drift к Salesforce, тем самым отозвав ключи, однако тогда ещё не раскрывалось, что они уже могли быть взломан.

Лишь 26 августа группа Google Threat Intelligence Group (GTIG) официально подтвердила : неизвестные злоумышленники, обозначенные как UNC6395, начали использовать украденные ключи как минимум с 8 августа, извлекая огромные объёмы информации из Salesforce. При этом, как подчёркивается, сама платформа Salesforce не содержит уязвимостей, речь идёт именно об утечке способов доступа.

GTIG отмечает, что хакеры активно перебирают полученные данные в поисках чувствительных материалов: ключей AWS, учётных записей VPN, доступов к Snowflake и другим облачным хранилищам. Если им удастся найти рабочие учётные данные, это может привести к дальнейшему взлому инфраструктур как жертв, так и их партнёров.

28 августа Google обновила предупреждение, добавив, что атакующие использовалиключи для доступа к почте в «небольшом числе» учётных записей Google Workstation, специально настроенных для работы с Salesloft. GTIG настоятельно рекомендует немедленно обнулить все ключи, связанные с интеграциями Salesloft — вне зависимости от конкретного стороннего сервиса.

Google прямо заявила: все организации, использующие Salesloft Drift в связке с внешними платформами (включая, но не ограничиваясь Salesforce), должны считать свои данные раскрытыми и принять безотлагательные меры по ликвидации последствий. В ответ Salesforce заблокировал интеграции Drift с собственной платформой, а также с Slack и Pardot.

ShinyHunters давно прославились благодаря взломам облачных платформ и сторонних провайдеров. С 2020 года они публиковали десятки баз с миллионами записей на подпольных форумах, включая ныне закрытый Breachforums. Участники группировки — как предполагается, плавающий состав из англоязычных киберпреступников, активных в Telegram и Discord.