Como proteger sua empresa após o ataque ao Salesloft Drift

No final de agosto, hackers ganharam acesso ao funcionamento interno de uma plataforma de chatbot de IA e, desde então, têm usado esse acesso para invadir outros aplicativos, do Salesforce ao Google Workspace, que as empresas integraram ao chatbot.

O Drift, um agente chatbot adquirido pela Salesloft, é popular entre as equipes americanas de vendas e marketing. Ele se integra a aplicativos de terceiros para converter visitantes do site em leads de vendas. Embora não esteja claro no momento como os invasores invadiram o Salesloft Drift, uma vez lá, eles roubaram tokens de autenticação que lhes deram acesso ao Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure, OpenAI e, potencialmente, a qualquer outra plataforma que se integre ao Salesloft.

Se sua empresa usa integrações do Drift, Salesloft ou Salesforce, você pode ter sido afetado por essa violação. Pesquisadores de segurança recomendam que você revogue todos os tokens OAuth imediatamente e audite os aplicativos conectados. Não espere pela confirmação do comprometimento — presuma que houve e aja agora.

Se não fizer isso, os invasores poderão usar esses tokens para acessar seus ambientes on-line.

Linha do tempo do ataque ao Salesloft Drift

A Salesloft divulgou pela primeira vez um problema de segurança afetando as integrações do Drift(nova janela) em 20 de agosto.

Em 26 de agosto, o Grupo de Inteligência de Ameaças do Google divulgou descobertas(nova janela) confirmando que invasores exploraram tokens OAuth roubados da Salesloft para acessar instâncias do Salesforce e exfiltrar grandes quantidades de dados.

Em 28 de agosto, o Google adicionou uma atualização informando que os invasores usaram esses tokens de acesso para também acessar os e-mails de “um número muito pequeno de contas do Google Workspace” que tinham integrações com o Drift e observou que esse ataque afeta quase todas as integrações do Drift. O Google alega que tokens de autenticação válidos também foram roubados do Slack, Amazon S3, Microsoft Azure e OpenAI.

Como resultado, o Google e a Salesforce desativaram temporariamente suas integrações com o Drift.

Em 1º de setembro, a Zscaler confirmou ter sido comprometida(nova janela) usando OAuth e tokens de atualização roubados no ataque ao Drift. Os invasores invadiram sua instância do Salesforce e roubaram informações confidenciais de clientes, incluindo nomes, e-mails, cargos, informações de uso do produto Zscaler e muito mais.

Isso segue outro ataque recente a instâncias do Salesforce que levou a um aumento nos ataques de phishing contra usuários do Gmail e do Google Workspace. De acordo com a Krebs Security(nova janela), há discordância sobre se os dois ataques estão relacionados.

O que é um ataque à cadeia de suprimentos?

Um ataque à cadeia de suprimentos ocorre quando invasores vão atrás de um fornecedor terceirizado para invadir o sistema de uma organização. Nesse caso, os invasores não violaram o Gmail ou a Salesforce diretamente — eles comprometeram tokens OAuth de integrações do Drift para acessar sistemas conectados.

Um dos exemplos recentes mais infames de um ataque à cadeia de suprimentos é o que aconteceu com a SolarWinds em 2020(nova janela). A SolarWinds é uma grande provedora de software para gerenciamento de rede. Hackers suspeitos de serem apoiados pela Rússia atacaram a SolarWinds, implantando malware em seu código, que foi então espalhado para mais de 30.000 organizações públicas e privadas durante uma atualização padrão. Provavelmente foi o maior ataque à cadeia de suprimentos de todos os tempos.

Por que chatbots de IA continuarão sendo alvos

A pressa para integrar agentes de IA como o Drift em inúmeros fluxos de trabalho em todos os tipos de empresas dificultou o trabalho das equipes de segurança cibernética, e as empresas de IA provaram até agora ser vulneráveis a ataques à cadeia de suprimentos(nova janela). Dada a aceleração da adoção da IA, a novidade da tecnologia e o fato de que todos estão aprendendo na prática(nova janela), esses ataques só se tornarão mais comuns.

Até que o ecossistema de IA amadureça, a medida mais segura é minimizar o acesso, limitar integrações e usar plataformas projetadas para zero trust. Hackers sempre procurarão atacar fraquezas percebidas nos perímetros de segurança de uma empresa. Integrações, plataformas de terceiros e consultores externos são frequentemente vistos como alvos atraentes. Saiba mais sobre prevenção de violação de dados para empresas.