Die Google Threat Intelligence Group (GTIG) und Mandiant haben eine umfangreiche Angriffskampagne durch den Akteur UNC6395 aufgedeckt. Dabei wurden kompromittierte OAuth-Tokens aus der Drittanbieter-App Salesloft Drift genutzt, um auf zahlreiche Salesforce-Instanzen zuzugreifen und große Mengen an Unternehmensdaten zu exfiltrieren.
- Betroffen: Salesforce-Integrationen mit Salesloft Drift, inzwischen auch weitere Drift-Integrationen (inkl. Drift Email).
- Datenzugriff: u. a. auf Accounts, Cases, Opportunities und User-Daten; gezielt gesucht wurde nach Zugangsdaten und Secrets (z. B. AWS Keys, Snowflake Tokens, Passwörter).
- Maßnahmen: Salesforce und Salesloft haben am 20. August alle Drift-Tokens widerrufen und die App aus dem AppExchange entfernt. Google hat verdächtige OAuth-Tokens zurückgezogen und die Drift-Integration in Workspace deaktiviert.
Alle Drift-Kunden sollten Authentifizierungstokens widerrufen und neu ausstellen, ihre Systeme auf unbefugten Zugriff prüfen und alle Integrationen überprüfen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: