گوگل روز پنج‌شنبه اعلام کرد که کاربران پلتفرم هوش مصنوعی Salesloft Drift AI باید تمام توکن‌های امنیتی متصل به این سرویس را در معرض خطر در نظر بگیرند. این هشدار پس از آن صادر شد که تیم اطلاعات تهدید گوگل (GTIG) کشف کرد مهاجمان ناشناس توانسته‌اند با استفاده از برخی از این توکن‌ها به ایمیل‌های Google Workspace دسترسی پیدا کنند. پیش‌تر تصور می‌شد که این حمله تنها به یکپارچه‌سازی Drift با Salesforce محدود است، اما یافته‌های جدید گوگل نشان می‌دهد دامنه نفوذ گسترده‌تر بوده و شامل سایر یکپارچه‌سازی‌ها نیز می‌شود. در نتیجه، گوگل بلافاصله توکن‌های سوءاستفاده‌شده را لغو کرد و دسترسی Drift به Google Workspace را غیرفعال ساخت. همچنین تمامی کاربران آسیب‌دیده از این حمله نیز مطلع شدند.

Salesloft Drift یک عامل هوش مصنوعی چت (AI Chat Agent) است که به وب‌سایت‌ها امکان می‌دهد مکالمات هوشمند و بلادرنگ با مشتریان داشته باشند. این سرویس که حدود ۱۸ ماه پیش توسط Salesloft خریداری شد، می‌تواند با ابزارهایی مانند Salesforce، Slack، Google Workspace و دیگر پلتفرم‌های مدیریت ارتباط با مشتری (CRM) ادغام شود. طبق گزارش اولیه گوگل در روز سه‌شنبه، گروه مهاجم شناخته‌شده به نام UNC6395 با سرقت انبوه داده‌ها از Drift، موفق به دسترسی به Salesforce شد. آنها از طریق توکن‌های OAuth دزدیده‌شده، داده‌های حساس مشتریان را استخراج کرده و به دنبال اعتبارنامه‌های اضافی برای ورود به سرویس‌هایی مانند AWS و Snowflake بودند. این عملیات مخرب از ۸ اوت آغاز و تا ۱۸ اوت ادامه داشته است.

در واکنش به این حمله، Salesforce دسترسی Drift به سرویس‌های خود شامل Salesforce Cloud، Slack و Pardot را مسدود کرد. با این حال، به‌روزرسانی جدید گوگل در روز پنج‌شنبه نشان می‌دهد که ماجرا هنوز به‌طور کامل مهار نشده است. گوگل در بیانیه خود توصیه کرده است که تمامی سازمان‌ها و شرکت‌هایی که از Drift استفاده می‌کنند باید فوراً اقدامات امنیتی زیر را انجام دهند:

•    بازبینی تمام یکپارچه‌سازی‌های شخص ثالث متصل به Drift
•    لغو و جایگزینی تمامی توکن‌ها و اعتبارنامه‌ها
•    بررسی دقیق سیستم‌ها برای یافتن نشانه‌های نفوذ یا دسترسی غیرمجاز

همچنین Salesloft برای مدیریت این بحران، شرکت Mandiant (وابسته به گوگل) را به‌عنوان تیم پاسخ به حادثه امنیتی استخدام کرده است. این حادثه بار دیگر نشان می‌دهد که حتی ابزارهای هوش مصنوعی در فروش و بازاریابی نیز می‌توانند به نقطه‌ای حساس برای حملات سایبری تبدیل شوند و سازمان‌ها باید به‌طور مداوم امنیت یکپارچه‌سازی‌های SaaS و API را بررسی کنند.

منبع خبر: arstechnica