Comment protéger votre entreprise suite à l’attaque Salesloft Drift

Fin août, des pirates ont accédé aux rouages internes d’une plateforme de chatbot IA, et depuis lors, ils utilisent cet accès pour s’introduire dans d’autres applications, de Salesforce à Google Workspace, que les entreprises ont intégrées au chatbot.

Drift, un agent chatbot acquis par Salesloft, est populaire auprès des équipes de vente et de marketing américaines. Il s’intègre à des applications tierces pour convertir les visiteurs de sites internet en prospects commerciaux. Bien qu’il soit actuellement incertain comment les attaquants se sont introduits dans Salesloft Drift, une fois là, ils ont volé des jetons d’authentification qui leur ont donné accès à Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure, OpenAI et potentiellement toute autre plateforme qui s’intègre à Salesloft.

Si votre entreprise utilise des intégrations Drift, Salesloft ou Salesforce, vous pourriez être affecté par cette fuite de données. Les chercheurs en sécurité recommandent de révoquer immédiatement tous les jetons OAuth et d’auditer les applications connectées. N’attendez pas la confirmation de la compromission — supposez-la et agissez maintenant.

Si vous ne le faites pas, les attaquants pourraient utiliser ces jetons pour accéder à vos environnements en ligne.

Chronologie de l’attaque Salesloft Drift

Salesloft a d’abord divulgué un problème de sécurité affectant les intégrations Drift(nouvelle fenêtre) le 20 août.

Le 26 août, le Threat Intelligence Group de Google a publié des conclusions(nouvelle fenêtre) confirmant que les attaquants avaient exploité des jetons OAuth volés à Salesloft pour accéder aux instances Salesforce et exfiltrer de grandes quantités de données.

Le 28 août, Google a ajouté une mise à jour selon laquelle les attaquants avaient utilisé ces jetons d’accès pour accéder également aux messages d'”un très petit nombre de comptes Google Workspace” qui avaient des intégrations Drift et a noté que ce piratage affecte presque toutes les intégrations Drift. Google affirme que des jetons d’authentification valides ont également été volés pour Slack, Amazon S3, Microsoft Azure et OpenAI.

En conséquence, Google et Salesforce ont temporairement désactivé leurs intégrations Drift.

Le 1er septembre, Zscaler a confirmé avoir été compromis(nouvelle fenêtre) en utilisant des jetons OAuth et d’actualisation volés lors de l’attaque Drift. Les attaquants se sont introduits dans son instance Salesforce et ont volé des informations client sensibles, y compris des noms, des messages, des titres de poste, des informations sur l’utilisation des produits Zscaler, et plus encore.

Cela fait suite à une autre attaque récente sur des instances Salesforce qui a conduit à une augmentation des attaques d’hameçonnage contre les utilisateurs de Gmail et Google Workspace. Selon Krebs Security(nouvelle fenêtre), il y a un désaccord sur la question de savoir si les deux attaques sont liées.

Qu’est-ce qu’une attaque de la chaîne d’approvisionnement ?

Une attaque de la chaîne d’approvisionnement se produit lorsque des attaquants s’en prennent à un fournisseur tiers pour s’introduire dans le système d’une organisation. Dans ce cas, les attaquants n’ont pas violé Gmail ou Salesforce directement — ils ont compromis les jetons OAuth des intégrations Drift pour accéder aux systèmes connectés.

L’un des exemples récents les plus infâmes d’une attaque de la chaîne d’approvisionnement est ce qui s’est passé avec SolarWinds en 2020(nouvelle fenêtre). SolarWinds est un fournisseur majeur de logiciels pour la gestion de réseau. Des pirates soupçonnés d’être soutenus par la Russie ont attaqué SolarWinds, implantant un logiciel malveillant dans son code, qui s’est ensuite propagé à plus de 30 000 organisations publiques et privées lors d’une mise à jour standard. C’était probablement la plus grande attaque de la chaîne d’approvisionnement jamais réalisée.

Pourquoi les chatbots IA continueront d’être des cibles

La ruée pour intégrer des agents IA comme Drift dans d’innombrables flux de travail à travers toutes sortes d’entreprises a rendu difficile pour les équipes de cybersécurité de faire leur travail, et les entreprises d’IA se sont jusqu’à présent avérées être vulnérables aux attaques de la chaîne d’approvisionnement(nouvelle fenêtre). Compte tenu de l’accélération de l’adoption de l’IA, de la nouveauté de la technologie et du fait que tout le monde apprend sur le tas(nouvelle fenêtre), ces attaques ne feront que devenir plus courantes.

Jusqu’à ce que l’écosystème de l’IA mûrisse, la démarche la plus sûre est de réduire l’accès, de limiter les intégrations et d’utiliser des plateformes conçues pour le zéro confiance. Les pirates chercheront toujours à cibler les faiblesses perçues dans les périmètres de sécurité d’une entreprise. Les intégrations, les plateformes tierces et les consultants externes sont souvent considérés comme des cibles attrayantes. En savoir plus sur la prévention des fuites de données pour les entreprises.