Na terça-feira(02), a Salesloft anunciou que vai tirar o Drift temporariamente do ar "muito em breve", após várias empresas terem sido vítimas de uma extensa onda de ataques à cadeia de suprimentos, que teve como alvo o produto de marketing software-as-a-service, resultando no roubo em massa de authentication tokens.
"Essa medida proporcionará o caminho mais rápido para revisar completamente a aplicação e construir maior resiliência e segurança no sistema, para que o aplicativo retorne à sua funcionalidade total", afirmou a empresa.
Como consequência, o chatbot Drift nos sites dos clientes ficará indisponível, e o Drift não estará acessível.
A companhia destacou que sua prioridade máxima é garantir a integridade e segurança dos sistemas e dos dados dos clientes, e que está trabalhando com parceiros de cibersegurança, Mandiant e Coalition, como parte dos esforços de resposta ao incidente.
O caso veio à tona depois que o Google Threat Intelligence Group (GTIG) e a Mandiant divulgaram uma campanha generalizada de roubo de dados, que utilizou OAuth e refresh tokens roubados associados ao agente de inteligência artificial (AI) chatbot do Drift para invadir as instâncias Salesforce dos clientes.
"A partir de 8 de agosto de 2025, até pelo menos 18 de agosto de 2025, o atacante teve como alvo as instâncias dos clientes Salesforce por meio de OAuth tokens comprometidos relacionados ao aplicativo de terceiros Salesloft Drift", informou a empresa na semana passada.
As atividades foram atribuídas a um grupo de ameaças conhecido como UNC6395 (também chamado de GRUB1).
O Google disse ao site The Hacker News que mais de 700 organizações podem ter sido potencialmente impactadas.
Embora inicialmente se acreditasse que a exposição estivesse limitada à integração da Salesloft com o Salesforce, descobriu-se que qualquer plataforma integrada ao Drift está potencialmente comprometida.
Ainda não está claro como os atores maliciosos obtiveram o acesso inicial ao Salesloft Drift.
O incidente levou a Salesforce a desabilitar temporariamente todas as integrações da Salesloft com o Salesforce como medida de precaução.
Algumas das empresas que confirmaram terem sido afetadas pela violação são:
- Cloudflare
- Google Workspace
- PagerDuty
- Palo Alto Networks
- SpyCloud
- Tanium
- Zscaler
"Acreditamos que este incidente não foi um evento isolado, mas que o ator da ameaça pretendia coletar credenciais e informações dos clientes para ataques futuros", disse a Cloudflare.
"Dado que centenas de organizações foram afetadas por essa violação do Drift, suspeitamos que o ator da ameaça usará essas informações para lançar ataques direcionados contra clientes das organizações impactadas."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...