Google heeft onthuld dat de recente golf van aanvallen die gericht zijn op Salesforce -instanties via SalesLoft -drift veel breder is in bereik dan eerder gedacht, en verklaart dat het alle integraties beïnvloedt.
“We adviseren nu alle SalesLoft Drift -klanten om alle authenticatietokens te behandelen die zijn opgeslagen in of verbonden met het driftplatform als mogelijk gecompromitteerd,” zei Google Threat Intelligence Group (GTIG) en Mandiant in een bijgewerkt advies.
De tech -gigant zei dat de aanvallers ook gestolen oauth -tokens gebruikten om op 9 augustus 2025 toegang te krijgen tot e -mail van een klein aantal Google Workspace -e -mailaccounts, na het in gevaar te brengen van de OAuth -tokens voor de integratie van de “drift -e -mail”. Het is vermeldenswaard dat dit geen compromis is van Google Workspace of alfabet zelf.
“De enige accounts die mogelijk toegankelijk waren, waren die die specifiek waren geconfigureerd om te integreren met SalesLoft; de acteur zou geen toegang hebben gehad tot andere accounts op het werkruimte -domein van een klant,” voegde Google toe.
Na de ontdekking zei Google dat het getroffen gebruikers op de hoogte heeft gesteld, de specifieke oauth -tokens aan de Drift -e -mailtoepassing heeft ingevoerd en de integratiefunctionaliteit tussen Google Workspace en Salesloft -drift uitgeschakeld, te midden van voortdurend onderzoek naar het incident.
Het bedrijf dringt er ook bij organisaties op aan om SalesLoft Drift te gebruiken om alle integraties van derden te beoordelen die zijn verbonden met hun drift-exemplaar, intrekken en roteren inloggegevens voor die toepassingen en alle verbonden systemen te onderzoeken op tekenen van ongeautoriseerde toegang.
De verbreding van de aanvalsradius komt kort nadat Google heeft blootgesteld wat het beschreef als een wijdverbreide en opportunistische gegevensdiefstalcampagne waardoor de dreigingsacteurs, een opkomende activiteitscluster, UNC6395 werden nagesynchroniseerd, om te benutten, gecompromitteerde oAuth -tokens geassocieerd met SalesLoft -afwijking om te richten op Salesforce -instanties van 8 augustus tot 18, 2025.
SalesLoft heeft sindsdien aangetoond dat Salesforce de drift -integratie tussen Salesforce, Slack en Pardot tijdelijk heeft uitgeschakeld om het bijna drie uur later op te volgen, en zei dat Salesforce “ervoor heeft gekozen om alle SalesLoft -integraties met Salesforce tijdelijk uit te schakelen”.
“Op basis van het onderzoek tot nu toe is er geen bewijs van kwaadaardige activiteiten die zijn gedetecteerd in de SalesLoft -integraties met betrekking tot het drift -incident,” merkte het op. “Bovendien zijn er op dit moment geen aanwijzingen dat de SalesLoft -integraties gecompromitteerd zijn of in gevaar zijn.”
