Google сообщила, что масштаб утечки данных через интеграцию Salesloft Drift оказался больше, чем ожидалось изначально. По данным подразделения по анализу угрозы GTIG, злоумышленники не только похитили информацию из инстансов Salesforce, но и скомпрометировали токены OAuth для доступа к стандартным аккаунтам Google Workspace, напрямую подключенным к Drift.

Атака, отслеживаемая специалистами Google Threat Intelligence (Mandiant) под кодовым именем UNC6395, была раскрыта 26 августа. Злоумышленники украли токены OAuth для чат-бота Drift AI, интегрированного с Salesforce, и получили доступ к делам, учетным записисям, данным пользователей. Это требует внимания к тикетам службы поддержки и выуживает конфиденциальные данные — ключи AWS, токены Snowflake и пароли, которые могут быть использованы для атаки и вымогательства.

В обновлённом сообщении Google уточнила, что 9 августа злоумышленники воспользовались украденными токенами «Drift Email» для доступа к электронной почте пользователей Google Workspace. Другие аккаунты домена не пострадали, служба Google Workspace и сама компания Alphabet не были скомпрометированы.