Salesforce-omgevingen liggen onder vuur. De boosdoener zou een uitgebuite integratie met Drift zijn, en is mogelijk niet beperkt tot Salesforce.
Het beveiligingsteam van Google waarschuwt voor ‘massale diefstal’ uit Salesforce-omgevingen. Aanvallen zouden sinds 8 augustus aan de gang zijn. De aanvallers weten volgens Google precies naar waar ze op zoek zijn: ze zijn uit op gevoelige informatie zoals sleutels van cloudsleutels, wachtwoorden en aanmeldtokens.
Gecompromitteerde integraties
Google wijst naar een integratie met Drift, een platform voor real-time interactie met klanten en websitebezoekers. Via de integratie kregen de hackers toegang tot talrijke Salesforce-accounts. De groep misbruikte authenticatietokens om grote hoeveelheden bedrijfsdata te exporteren.
De aanvallen richten zich voornamelijk op Salesforce-omgevingen, maar Google sluit uitbuiting van integraties tussen Drift en andere applicaties niet uit. Zo zouden aanvallers ook hebben geprobeerd om bij Google Workspace-accounts binnen te dringen. Google adviseert bedrijven die Drift gebruiken om koppeling met andere applicaties te bekijken. Zowel Google als Salesforce schakelde de integratie naar hun platformen uit voorzorg uit.
De onderzoekers raden verder aan om gerelateerde API-sleutels, wachtwoorden en tokens te vernieuwen. Organisaties doen er ook goed aan hun logs te controleren op verdachte activiteiten, zoals ongebruikelijke query’s en loginpogingen vanuit Tor-netwerken. De blogpost bevat een lijst van verdachte IP-adressen die op compromittering kunnen wijzen.
Datalek bij Google
Google kon een eerder datalek via Salesforce niet vermijden. Ook deze maand werden verschillende grote bedrijven getroffen door datalekken. De aanvallers maakten hier gebruik van social engineering om toegang te krijgen tot de klantenomgeving. Er lijkt geen rechtstreeks verband met deze aanvalscampagne, die ook aan andere daders wordt toegeschreven.
lees ook
Hackers kraken systemen vooral via mensen: social engineering-aanvallen in de lift
Salesforce heeft Google-dochter Mandiant onder de arm genomen voor verregaander onderzoek en communiceert via zijn eigen kanalen. Beide bedrijven benadrukken dat geen van hun kernsystemen getroffen zijn.