Всвоем обновлении в субботу компания Salesloft заявила, что основной причиной атак на цепочку поставок Drift является группа злоумышленников, получившая доступ к ее аккаунту на GitHub еще в марте.
В течение 10 дней в середине августа группа злоумышленников скомпрометировала и похитила данные сотен организаций .
По данным Salesloft, группа угроз, которую Google отслеживает как UNC6395, в течение месяца вплоть до июня скрывалась в среде приложений Salesloft, загружала контент из нескольких репозиториев, добавляла гостевого пользователя и настраивала рабочие процессы.
«Затем злоумышленник получил доступ к среде Amazon Web Services компании Drift и получил токены OAuth для интеграции технологий клиентов Drift», — заявила компания. «Злоумышленник использовал украденные токены OAuth для доступа к данным через интеграцию Drift».
Это обновление представляет собой наиболее важную информацию, опубликованную Salesloft с тех пор, как в прошлом месяце специалисты по безопасности Google впервые предупредили о «широкомасштабной кампании по краже данных». Компания по-прежнему скрывает ключевые детали, поскольку её компания Mandiant, специализирующаяся на реагировании на инциденты, перешла на новый уровень, чтобы подтвердить качество своего расследования.
Salesloft не объяснила, как был получен доступ к её учётной записи GitHub, что злоумышленники делали в её среде, а также как группа злоумышленников получила доступ к среде Drift AWS и получила токены OAuth. Компания также не объяснила, почему токены OAuth хранились в облачной среде и предназначались ли украденные токены OAuth для внутренней интеграции со сторонними платформами или же OAuth-токены клиентов для индивидуальных интеграций.
Компания не отреагировала на многочисленные запросы о комментариях, отправленные еще 26 августа, когда впервые появились новости об атаках.
Аналитики и исследователи признают, что Salesloft, возможно, всё ещё ищет окончательные ответы на вопрос о причинах неполадки, однако компания уже допустила ошибку, ошибочно заявив, что уязвимость была ограничена экземплярами клиентов Drift, интегрированными с Salesforce. Несколько дней спустя компания Mandiant, специализирующаяся на реагировании на инциденты в Google Cloud, заявила, что пользователи Drift от Salesloft подверглись массовой атаке, потенциально затрагивая любого пользователя, интегрировавшего платформу чат-агента на основе ИИ с другим сторонним сервисом.
«Не думаю, что они полностью прозрачны. Они всё ещё что-то скрывают», — сказал Пэдди Харрингтон, старший аналитик Forrester.
По словам Харрингтона, расследование, проведенное Salesloft после инцидента, выявило множество областей, в которых методы обеспечения безопасности и контроля компании, по-видимому, были неадекватными.
Натаниэль Джонс, вице-президент по безопасности и стратегии ИИ в Darktrace, выразил надежду, что после завершения расследования будет предоставлена дополнительная информация. «Они подтвердили взлом и последующие последствия, но не стали раскрывать, как злоумышленник проник в систему», — добавил он.
«Они изолировали среду Drift, вывели её из игры, провели ротацию полномочий и сделали акцент на сдерживании. Всё это хорошая практика», — сказал Джонс.
В пятницу Salesloft отключил Drift, заявив, что эта мера временная, «чтобы усилить безопасность приложения и связанной с ним инфраструктуры». Компания Salesloft провела ротацию всех централизованно управляемых ключей для пользователей OAuth, но клиенты, управляющие подключениями Drift к сторонним приложениям через ключи API, должны отозвать существующие ключи непосредственно в приложении стороннего поставщика, заявила компания.
По данным Mandiant, платформа Salesloft, которая была технически отделена от Drift и не скомпрометирована, восстановила соединение с Salesforce в воскресенье, сообщила компания.
Salesloft не знает, когда Drift будет восстановлен и снова запущен. Тем не менее, компании, возможно, придётся внести существенные изменения, чтобы восстановить доверие, поскольку сохраняющиеся и пока неясные последствия ущерба, причинённого утечкой, портят репутацию Drift.
«Вероятно, им придётся переименовать эту штуку. Одно только название уже полностью испорчено», — сказал Харрингтон. «Они могли бы снова выпустить продукт, но им придётся серьёзно обсудить изменение архитектуры».
Он добавил, что основные подробности о том, как произошла атака, до сих пор отсутствуют, и клиентам необходимо понимать истинные масштабы атаки на цепочку поставок и объем украденных данных.
«Мы живём в такое время, когда злоумышленники находят наименее защищённые активы и нападают на них, и вот они наткнулись на золото. Чёрт возьми, они наткнулись на золото», — сказал Харрингтон. «Ситуация становится всё хуже и хуже».
В течение 10 дней в середине августа группа злоумышленников скомпрометировала и похитила данные сотен организаций .
По данным Salesloft, группа угроз, которую Google отслеживает как UNC6395, в течение месяца вплоть до июня скрывалась в среде приложений Salesloft, загружала контент из нескольких репозиториев, добавляла гостевого пользователя и настраивала рабочие процессы.
«Затем злоумышленник получил доступ к среде Amazon Web Services компании Drift и получил токены OAuth для интеграции технологий клиентов Drift», — заявила компания. «Злоумышленник использовал украденные токены OAuth для доступа к данным через интеграцию Drift».
Это обновление представляет собой наиболее важную информацию, опубликованную Salesloft с тех пор, как в прошлом месяце специалисты по безопасности Google впервые предупредили о «широкомасштабной кампании по краже данных». Компания по-прежнему скрывает ключевые детали, поскольку её компания Mandiant, специализирующаяся на реагировании на инциденты, перешла на новый уровень, чтобы подтвердить качество своего расследования.
Salesloft не объяснила, как был получен доступ к её учётной записи GitHub, что злоумышленники делали в её среде, а также как группа злоумышленников получила доступ к среде Drift AWS и получила токены OAuth. Компания также не объяснила, почему токены OAuth хранились в облачной среде и предназначались ли украденные токены OAuth для внутренней интеграции со сторонними платформами или же OAuth-токены клиентов для индивидуальных интеграций.
Компания не отреагировала на многочисленные запросы о комментариях, отправленные еще 26 августа, когда впервые появились новости об атаках.
Аналитики и исследователи признают, что Salesloft, возможно, всё ещё ищет окончательные ответы на вопрос о причинах неполадки, однако компания уже допустила ошибку, ошибочно заявив, что уязвимость была ограничена экземплярами клиентов Drift, интегрированными с Salesforce. Несколько дней спустя компания Mandiant, специализирующаяся на реагировании на инциденты в Google Cloud, заявила, что пользователи Drift от Salesloft подверглись массовой атаке, потенциально затрагивая любого пользователя, интегрировавшего платформу чат-агента на основе ИИ с другим сторонним сервисом.
«Не думаю, что они полностью прозрачны. Они всё ещё что-то скрывают», — сказал Пэдди Харрингтон, старший аналитик Forrester.
По словам Харрингтона, расследование, проведенное Salesloft после инцидента, выявило множество областей, в которых методы обеспечения безопасности и контроля компании, по-видимому, были неадекватными.
Натаниэль Джонс, вице-президент по безопасности и стратегии ИИ в Darktrace, выразил надежду, что после завершения расследования будет предоставлена дополнительная информация. «Они подтвердили взлом и последующие последствия, но не стали раскрывать, как злоумышленник проник в систему», — добавил он.
«Они изолировали среду Drift, вывели её из игры, провели ротацию полномочий и сделали акцент на сдерживании. Всё это хорошая практика», — сказал Джонс.
В пятницу Salesloft отключил Drift, заявив, что эта мера временная, «чтобы усилить безопасность приложения и связанной с ним инфраструктуры». Компания Salesloft провела ротацию всех централизованно управляемых ключей для пользователей OAuth, но клиенты, управляющие подключениями Drift к сторонним приложениям через ключи API, должны отозвать существующие ключи непосредственно в приложении стороннего поставщика, заявила компания.
По данным Mandiant, платформа Salesloft, которая была технически отделена от Drift и не скомпрометирована, восстановила соединение с Salesforce в воскресенье, сообщила компания.
Salesloft не знает, когда Drift будет восстановлен и снова запущен. Тем не менее, компании, возможно, придётся внести существенные изменения, чтобы восстановить доверие, поскольку сохраняющиеся и пока неясные последствия ущерба, причинённого утечкой, портят репутацию Drift.
«Вероятно, им придётся переименовать эту штуку. Одно только название уже полностью испорчено», — сказал Харрингтон. «Они могли бы снова выпустить продукт, но им придётся серьёзно обсудить изменение архитектуры».
Он добавил, что основные подробности о том, как произошла атака, до сих пор отсутствуют, и клиентам необходимо понимать истинные масштабы атаки на цепочку поставок и объем украденных данных.
«Мы живём в такое время, когда злоумышленники находят наименее защищённые активы и нападают на них, и вот они наткнулись на золото. Чёрт возьми, они наткнулись на золото», — сказал Харрингтон. «Ситуация становится всё хуже и хуже».
