Google varuje: Útok na Salesloft Drift kompromitoval i účty Google Workspace

Společnost Google zveřejnila nové informace o kybernetickém útoku na platformu Salesloft Drift, které ukazují, že incident je závažnější, než se původně předpokládalo. Útočníci podle aktuálních zjištění útočníci také pronikli do e-mailových schránek v Google Workspace, a to pomocí odcizených OAuth tokenů.

Útok se připisuje skupině UNC6395, kterou sleduje tým Google Threat Intelligence (Mandiant). K prvnímu zveřejnění došlo 26. srpna 2025, kdy se potvrdilo, že útočníci zneužili OAuth tokeny přidělené Drift AI integraci mezi Salesloft a Salesforce. Pomocí těchto tokenů provedli dotazy nad objekty jako Cases, Accounts, Users a Opportunities, a tím získali přístup k potenciálně citlivým datům z oblasti zákaznické podpory.

Cílem bylo zjevně identifikovat přístupové údaje (např. AWS klíče, Snowflake tokeny nebo hesla), které by bylo možné dále zneužít – ať už k dalšímu průniku do cloudových prostředí, nebo k budoucím pokusům o vydírání.

Aktualizace ze dne 28. srpna přinesla další zjištění: došlo také ke kompromitaci OAuth tokenů používaných v Drift Email integrace. Tyto tokeny útočníci zneužili k přístupu do e-mailových schránek uživatelů Google Workspace u malého počtu zákazníků, kteří měli propojení přes Drift.

Google zdůrazňuje, že šlo o velmi omezený počet účtů, bez dopadu na ostatní uživatele. Nedošlo ani k narušení samotné infrastruktury Google Workspace či mateřské společnosti Alphabet.

Všechny kompromitované tokeny byly již revokovány a postižené organizace byly informovány. Google také dočasně deaktivoval integraci Drift Email s Google Workspace, dokud se šetření plně neuzavře.

Zároveň vydal doporučení, které se týká všech uživatelů platformy Drift:

– Považujte všechny autentizační tokeny uložené nebo používané v rámci Drift za potenciálně kompromitované.

– Okamžitě proveďte rotaci přihlašovacích údajů pro aplikace napojené na Drift.

– Zkontrolujte všechny integrované systémy na známky neautorizovaného přístupu nebo úniku dat.

– Prohledejte nastavení integračních platforem na případné úniky tajných klíčů nebo přístupových údajů a všechny nalezené okamžitě změňte.

Společnost Salesloft v reakci na incident oznámila, že Salesforce deaktivoval všechny integrace Drift se systémy Salesforce, Slack a Pardot do doby, než se incident důkladně vyšetří.

Na vyšetřování incidentu se kromě Mandiant nově podílí také pojišťovna Coalition, specializující se na kybernetické riziko.

Incident kolem Salesloft Drift znovu potvrzuje, jak nebezpečné může být zneužití OAuth tokenů v prostředí složitě propojených SaaS služeb. I když nejde o plošný útok, útočníci dokázali získat přístup k vysoce citlivým datům skrze legitimní integrační rozhraní.

Organizace by měly věnovat zvýšenou pozornost bezpečnosti všech integračních platforem, správě přístupových oprávnění třetích stran a pravidelnému monitoringu využití tokenů a API přístupů.

Důvěra v platformy třetích stran je opodstatněná pouze tehdy, pokud je doprovázena odpovídající transparentností, kontrolou a krizovým plánem pro případ kompromitace.

Zdroj: cloud.google.com

Zdroj ilustračního obrázku: vygenerováno pomocí AI