Google威脅情報團隊進一步更新Salesloft Drift權杖外洩調查結果,確認此次影響範圍不僅限於原先所知的Salesforce與Drift整合。Google指出,其他與Drift相連的整合包含Drift Email同樣可能遭到濫用,建議所有Drift客戶將平臺內部或關聯應用的所有驗證權杖視為已受威脅,並儘速撤銷與輪替。
目前,Salesloft已聘請Mandiant加入調查,並承諾持續提供進展。相比昨日事件初步揭露的範圍,最新更新的重點在於發現影響並非僅限Salesforce,新增了Google Workspace郵件被觸及的案例。
最新確認的案例與Drift Email整合相關,Google表示,攻擊者於8月9日利用遭竊的OAuth權杖,存取了極少數Google Workspace帳號的郵件。不過,僅有事先設定與Salesloft進行郵件整合的帳號才可能被觸及,整個Workspace網域的其他帳號並未受影響。
為此,Google已撤銷Drift Email應用所使用的相關OAuth權杖,並已停用Google Workspace與Salesloft Drift之間的整合功能,並強調Google Workspace本身以及Alphabet的內部系統並未遭入侵。
Google早先揭露,攻擊者自8月8日至8月18日期間,濫用Drift OAuth權杖登入多家企業的Salesforce實例,並匯出大量資料,尋找AWS存取金鑰、Snowflake權杖及密碼等敏感字串,以嘗試進一步橫向入侵。Salesloft已在8月20日與Salesforce合作撤銷所有Drift應用的存取權,Salesforce也已將Drift自AppExchange下架,並強調事件並非源自Salesforce核心平臺的弱點。
Google在更新公告中提醒,企業必須全面檢視所有與Drift相連的第三方整合服務,立即撤銷並輪換相關API金鑰、憑證及OAuth權杖,並審查相關系統是否出現未授權存取跡象。對於Salesforce使用者,Google建議透過Event Monitoring檢查Connected App與使用者活動紀錄,特別是涉及Drift的連線與SOQL查詢,並確認資料表內是否存放未加密的金鑰或帳密資訊,必要時應立即更新。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
