Google ha revelado que la fresco ola de ataques dirigidos a las instancias de Salesforce a través de SalesLoft Drift es mucho más amplia de lo que se pensaba anteriormente, afirmando que afecta todas las integraciones.
«Ahora asesoramos a todos los clientes de SalesLoft Drift que traten todos y cada uno de los tokens de autenticación almacenados o conectados a la plataforma de deriva como potencialmente comprometidos», dijeron Google Threat Intelligence Group (GTIG) y Mandiant en un aviso actualizado.
El coloso de la tecnología dijo que los atacantes todavía usaron tokens OAuth robados para lograr al correo electrónico desde un pequeño número de cuentas de correo electrónico del espacio de trabajo de Google el 9 de agosto de 2025, a posteriori de comprometer los tokens OAuth para la integración del «correo electrónico de deriva». Vale la pena señalar que este no es un compromiso del espacio de trabajo de Google o el alfabeto en sí.
«Las únicas cuentas a las que se accedió potencialmente fueron aquellas que se habían configurado específicamente para integrarse con SalesLoft; el actor no habría podido lograr a ninguna otra cuenta en el dominio del espacio de trabajo de un cliente», agregó Google.
Luego del descubrimiento, Google dijo que notificó a los usuarios impactados, revocó los tokens OAuth específicos otorgados a la aplicación de correo electrónico de deriva y deshabilitó la funcionalidad de integración entre Google Workspace y SalesLoft Drift en medio de una investigación continua sobre el incidente.
La compañía todavía insta a las organizaciones que usan SalesLoft Drift a revisar todas las integraciones de terceros conectadas a su instancia de deriva, revocar y rotar las credenciales para esas aplicaciones, e investigar todos los sistemas conectados para obtener signos de comunicación no calificado.
La ampliación del radiodifusión de ataque se produce poco a posteriori de que Google expuso lo que describió como una campaña de robo de datos generalizada y oportunista que permitió a los actores de amenaza, un clúster de actividad emergente denominado UNC6395, emplear las tokens OAuth comprometidas asociadas con la deriva de SalesLoft para dirigirse a instancias de la fuerza de ventas del 8 al 18 de agosto de 2025.
Desde entonces, Salesloft ha revelado que Salesforce ha desactivado temporalmente la integración de deriva entre Salesforce, Slack y Pardot, solo para seguirlo casi tres horas a posteriori, diciendo que Salesforce «ha predilecto deshabilitar temporalmente todas las integraciones de SalesLoft con Salesforce».
«Según la investigación hasta la época, no hay evidencia de actividades maliciosas detectadas en las integraciones de SalesLoft relacionadas con el incidente de deriva», señaló. «Adicionalmente, en este momento, no hay indicios de que las integraciones de SalesLoft estén comprometidas o en aventura».
