Google fordert derzeit alle Nutzerinnen und Nutzer des Salesloft-Drift-AI-Chatagents dazu auf, davon auszugehen, dass sämtliche mit der Plattform verbundenen Sicherheitstoken kompromittiert worden sein könnten. Die Warnung folgt auf Ermittlungen, die ergaben, dass unbekannte Angreifer einige dieser Zugangsdaten genutzt haben, um sich unbefugten Zugriff auf E-Mail-Konten von Google-Workspace-Nutzern zu verschaffen.
Als Reaktion auf den Vorfall hat Google alle betroffenen Token widerrufen und die Integration zwischen dem Salesloft-Drift-Agenten und Workspace-Konten vorübergehend deaktiviert. Zudem wurden alle betroffenen Nutzer informiert, während die Untersuchung des Sicherheitsvorfalls weiterläuft.
Umfang des Angriffs größer als zunächst angenommen
Die aktualisierten Erkenntnisse—veröffentlicht am Donnerstag in einer Google-Sicherheitswarnung—zeigen, dass der anfängliche Bericht den tatsächlichen Umfang des Angriffs unterschätzt hat. Ursprünglich ging das Google Threat Intelligence Group (GTIG) davon aus, dass die gestohlenen Token ausschließlich Drifts Integration mit Salesforce betrafen. Der neu bestätigte unbefugte Zugriff auf Workspace-Konten hat Google nun dazu veranlasst, den Radius des Vorfalls neu zu bewerten.
Google stellt derzeit keine Hinweise fest, dass andere Produkte oder Dienste von Salesloft außerhalb der Drift-Plattform kompromittiert wurden.
„Basierend auf neuen Informationen des GTIG ist der Umfang dieser Kompromittierung nicht auf die Salesforce-Integration mit Salesloft Drift beschränkt und betrifft auch andere Integrationen“, heißt es in der Mitteilung. „Wir raten jetzt allen Salesloft-Drift-Kunden, sämtliche in der Drift-Plattform gespeicherten oder damit verbundenen Authentifizierungs-Token als potenziell kompromittiert zu betrachten.“
Am Donnerstag wies die Sicherheitsseite von Salesloft jedoch noch keine Hinweise auf die von Google erweiterten Erkenntnisse auf und erklärte weiterhin, dass ausschließlich Salesforce-bezogene Drift-Integrationen betroffen seien. Unternehmensvertreter haben bisher nicht auf Anfragen zu Googles aktualisierter Einschätzung reagiert.