Google ha revelado que la reciente ola de ataques dirigidos a las instancias de Salesforce a través de SalesLoft Drift es mucho más amplia de lo que se pensaba anteriormente, y eso afectará todas las integraciones.
Google Threat Intelligence Group (GTIG) y Mandiant State en su asesoramiento actualizado.
El gigante tecnológico accedió a los correos electrónicos de un pequeño número de cuentas de correo electrónico del espacio de trabajo de Google después de que los atacantes utilizaron tokens robados de OAuth para comprometer los tokens de integración de «correo de deriva» el 9 de agosto de 2025. Vale la pena señalar que esto no es un compromiso para el espacio de trabajo de Google o el alfabeto en sí.
«Las únicas cuentas a las que se accedió potencialmente fueron aquellas que estaban específicamente configuradas para integrarse con SalesLoft. Los actores no tendrían acceso a otras cuentas en el dominio del espacio de trabajo del cliente», agregó Google.
Después del descubrimiento, Google notificó a los usuarios afectados, canceló ciertos tokens OAuth otorgados a la aplicación de correo electrónico de deriva, y deshabilitó la integración del espacio de trabajo de Google y SalesLoft Drift durante una investigación continua del incidente.
La compañía también utiliza SalesLoft Drift para verificar las organizaciones en busca de integraciones de todos los terceros conectados a sus instancias de deriva, revocar las credenciales de su aplicación, girarlas e investigar cualquier señal de acceso que no investigue todos los sistemas conectados.
El aumento en el radio de ataque ocurre poco después de que Google se describió como una campaña de robo de datos oportunista y generalizada que permitió un nuevo clúster de actividad llamado Activador de amenazas UNC6395, lo que permite que los tokens OAuth relacionados con la deriva de SalesLoft se aprovechen en las instancias de la fuerza de ventas de objetivos del 8 al 18 de agosto.
Desde entonces, Salesloft ha revelado que Salesforce ha desactivado temporalmente las integraciones de deriva entre Salesforce, Slack y Pardot, pero Salesforce ha declarado que «elegido deshabilitar temporalmente todas las integraciones de SalesLoft con Salesforce».
«Según las investigaciones anteriores, no hay evidencia de actividad maliciosa detectada en la integración de SalesLoft relacionada con los casos de deriva», dijo. «Y en este punto no hay indicios de que la integración de SalesLoft se vea comprometida o en riesgo».
Source link
