Großangelegte Datendiebstähle über Salesloft Drift treffen Salesforce-Instanzen

Die Google Threat Intelligence Group (GTIG) und Mandiant haben eine umfangreiche Angriffskampagne durch den Akteur UNC6395 aufgedeckt. Dabei wurden kompromittierte OAuth-Tokens aus der Drittanbieter-App Salesloft Drift genutzt, um auf zahlreiche Salesforce-Instanzen zuzugreifen und große Mengen an Unternehmensdaten zu exfiltrieren.

  • Betroffen: Salesforce-Integrationen mit Salesloft Drift, inzwischen auch weitere Drift-Integrationen (inkl. Drift Email).
  • Datenzugriff: u. a. auf Accounts, Cases, Opportunities und User-Daten; gezielt gesucht wurde nach Zugangsdaten und Secrets (z. B. AWS Keys, Snowflake Tokens, Passwörter).
  • Maßnahmen: Salesforce und Salesloft haben am 20. August alle Drift-Tokens widerrufen und die App aus dem AppExchange entfernt. Google hat verdächtige OAuth-Tokens zurückgezogen und die Drift-Integration in Workspace deaktiviert.

Alle Drift-Kunden sollten Authentifizierungstokens widerrufen und neu ausstellen, ihre Systeme auf unbefugten Zugriff prüfen und alle Integrationen überprüfen.

Related Posts

Microsofts China-Stützpunkt könnte US-Verteidigungsdaten gefährden

Ein kaum bekanntes Support-Programm von Microsoft könnte laut einer umfangreichen ProPublica-Recherche eine massive Sicherheitslücke im US-Verteidigungsministerium darstellen. Demnach setzt Microsoft zur Wartung sensibler Regierungs-Cloud-Systeme Ingenieure in China ein – überwacht lediglich von US-Personal mit oft unzureichender technischer Qualifikation.

Read More

xAI veröffentlicht versehentlich Hunderttausende Grok-Chatprotokolle – inklusive heikler Inhalte

Laut einer Recherche von Forbes hat Elon Musks KI-Firma xAI ohne Vorwarnung hunderttausende Konversationen seines Chatbots Grok öffentlich gemacht – viele davon sind über Google-Suche frei auffindbar.

Read More

„Phishing For Gemini“ – Unsichtbare Befehle täuschen Googles KI-Assistenten

Eine neue Angriffstechnik mit dem Namen „Phishing For Gemini“ zeigt, wie sich Googles KI-Assistent für Workspace durch versteckte Anweisungen in HTML-Mails manipulieren lässt. Der entdeckte Prompt-Injection-Exploit stammt von einem Sicherheitsforscher und wurde über die Plattform 0DIN (Submission 0xE24D9E6B) eingereicht.

Read More