ឥឡូវនេះ ក្រុមហ៊ុន Google បានរាយការណ៍ថា ការបំពាន Salesloft Drift កាន់តែធំឡើង បើទោះជាការព្រមានថា ហេគឃ័របានប្រើ OAuth Tokens ដែលបានលួចសម្រាប់ចូលដំណើរការគណនីអ៊ីម៉ែល Google Workspace មួយចំនួនតូច បន្ថែមពីលើការលួចទិន្នន័យពី Salesforce Instances ក៏ដោយ។
ក្រុមហ៊ុន Google បានព្រមានថា ផ្អែកតាមព័ត៌មានថ្មីដែលបានកំណត់អត្តសញ្ញាណដោយ GTIG បានឱ្យដឹងថា ទំហំនៃការគ្រប់គ្រងនេះមិនរាប់បញ្ចូល Salesforce ជាមួយ Salesloft Drift ទេ ហើយបានបង្កផលប៉ះពាល់ដល់ការរួមបញ្ចូលផ្សេងទៀត។ ឥឡូវនេះ ក្រុមហ៊ុនបានណែនាំឱ្យអតិថិជន Salesloft Drift ទាំងអស់ថា រាល់ Tokens ផ្ទៀងផ្ទាត់ទាំងអស់ដែលបានរក្សាទុកនៅក្នុង ឬតភ្ជាប់ទៅ Drift Platform ក្តីត្រូវបានគេគ្រប់គ្រង។
យុទ្ធនាការនេះត្រូវបានតាមដានដោយក្រុមស៊ើបការណ៍ការគំរាមកំហែង Google (Mandiant) លើ ក្រុមហេគឃ័រ UNC6395 ដំបូងត្រូវបានបង្ហាញកាលពីថ្ងៃទី២៦ ខែសីហា បន្ទាប់ពីបានលួច OAuth Tokens សម្រាប់ Saleloft’s Drift AI Chat ដែលបានរួមបញ្ចូលជាមួយ Salesforce។ ហេគឃ័របានប្រើ Tokens ទាំងនេះសម្រាប់ដំណើរការចូលទៅកាន់ Salesforce Instances ដែលពួកគេបានប្រតិបត្តិ Queries ប្រឆាំងនឹង Salesforce Objects រួមមាន Cases, Accounts, Users និង Opportunities Tables។ ទិន្នន័យនេះបានអនុញ្ញាតឱ្យហេគឃ័រស្គេនសំបុត្រជំនួយអតិថិជន (Support Tickets) និងសារសម្រាប់ព័ត៌មានសម្ងាត់ដូចជា AWS Access Kyes, Snowflake Tokens និងលេខសម្ងាត់ដែលអាចត្រូវបានប្រើសម្រាប់បំពានគណនីក្លោដបន្ថែមទៀត ដែលទំនងជាការជម្រិតទារប្រាក់នាពេលខាងមុខ។
នៅក្នុងបច្ចុប្បន្នភាពដែលបានចេញផ្សាយថ្ងៃនេះ ក្រុមហ៊ុន Google បានបញ្ជាក់ថា ការគ្រប់គ្រង (Compromise) មានសារៈសំខាន់ជាងពីមុន និងមិនកំណត់ចំពោះការរួមបញ្ចូល Salesforce។ ការស៊ើបអង្កេតបានបង្ហាញថា OAuth Tokens សម្រាប់ការរួមបញ្ចូល “Drift Email” ក៏ត្រូវបានគ្រប់គ្រង ហើយកាលពីថ្ងៃទី០៩ ខែសីហា ហេគឃ័របានប្រើប្រាស់ពួកវាសម្រាប់ចូលដំណើរការអ៊ីម៉ែលរបស់គណនី Google Workspace មួយចំនួនតូច ដែលបានរួមបញ្ចូលដោយផ្ទាល់ជាមួយ Drift។ ក្រុមហ៊ុនបានបញ្ជាក់ថា គណនីផ្សេងនៅក្នុង Domains ទាំងនោះបានរងផលប៉ះពាល់ តែពុំមានការគ្រប់គ្រងលើ Google Workspace ឬ Alphabet នោះទេ។ Tokens ដែលបានលួចត្រូវបានដកហូតតាំងពីពេលនោះ ហើយអតិថិជនក៏ត្រូវបានជូនដំណឹងផងដែរ។ ក្រុមហ៊ុនក៏បានបិទការរួមបញ្ចូលគ្នារវាង Salesloft Drift Email និង Google Workspace ខណៈពេលស៊ើបអង្កេតការបំពាន។
ឥឡូវក្រុមហ៊ុនកំពុងតែបញ្ចុះបញ្ចូលឱ្យស្ថាប័នទាំងអស់ដែលប្រើ Drift ដឹងថា រាល់ Authentication Tokens ដែលបានរក្សាទុកនៅក្នុង ឬតភ្ជាប់ទៅ Platform ត្រូវបានវាយប្រហារ (Compromised)។ ការព្រមាននេះណែនាំឱ្យអតិថិជនដកហូត និងបង្វែរព័ត៌មានសម្ងាត់ចេញពីកម្មវិធីទាំងនោះ ហើយស៊ើបអង្កេតប្រព័ន្ធដែលបានតភ្ជាប់រកមើលសញ្ញានៃការលួចចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាត។ ក្រុមហ៊ុនក៏បានណែនាំឱ្យត្រួតពិនិត្យការរួមបញ្ចូលនូវភាគីទី៣ ទាំងអស់ដែលពាក់ព័ន្ធនឹងករណី Drift ស្វែងរកការសម្ងាត់ដែលបានលាតត្រដាង និងកំណត់ឡើងវិញ (Reset) នូវព័ត៌មានសម្ងាត់ដែលបានរកឃើញក្នុងករណីដែលពួកវាត្រូវបានគ្រប់គ្រង (Compromised)។ Salesloft ក៏បានធ្វើបច្ចុប្បន្នភាពការណែនាំកាលពីថ្ងៃទី២៨ ខែសីហា ដោយបញ្ជាក់ថា Salesforce បានបិទការរួមបញ្ចូល Drift ជាមួយ Salesforce Slack និង Pardot រហូតដល់ការស៊ើបអង្កេតត្រូវបានបញ្ចប់។ ឥឡូវនេះក្រុមហ៊ុនបានសហការជាមួយ Mandiant និង Coalition ដើម្បីជួយដល់ការស៊ើបអង្កេតនេះ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៨ ខែសីហា ឆ្នាំ២០២៥
