Google ha revelado que la nuevo ola de ataques dirigidos a las instancias de Salesforce a través de SalesLoft Drift es mucho más amplia de lo que se pensaba anteriormente, afirmando que afecta todas las integraciones.
“Ahora asesoramos a todos los clientes de SalesLoft Drift que traten todos y cada uno de los tokens de autenticación almacenados o conectados a la plataforma de deriva como potencialmente comprometidos”, dijeron Google Threat Intelligence Group (GTIG) y Mandiant en un aviso actualizado.
El gigantesco de la tecnología dijo que los atacantes incluso usaron tokens OAuth robados para aceptar al correo electrónico desde un pequeño número de cuentas de correo electrónico del espacio de trabajo de Google el 9 de agosto de 2025, luego de comprometer los tokens OAuth para la integración del “correo electrónico de deriva”. Vale la pena señalar que este no es un compromiso del espacio de trabajo de Google o el alfabeto en sí.
“Las únicas cuentas a las que se accedió potencialmente fueron aquellas que se habían configurado específicamente para integrarse con SalesLoft; el actor no habría podido aceptar a ninguna otra cuenta en el dominio del espacio de trabajo de un cliente”, agregó Google.
Posteriormente del descubrimiento, Google dijo que notificó a los usuarios impactados, revocó los tokens OAuth específicos otorgados a la aplicación de correo electrónico de deriva y deshabilitó la funcionalidad de integración entre Google Workspace y SalesLoft Drift en medio de una investigación continua sobre el incidente.
La compañía incluso insta a las organizaciones que usan SalesLoft Drift a revisar todas las integraciones de terceros conectadas a su instancia de deriva, revocar y rotar las credenciales para esas aplicaciones, e investigar todos los sistemas conectados para obtener signos de camino no competente.
La ampliación del radiodifusión de ataque se produce poco luego de que Google expuso lo que describió como una campaña de robo de datos generalizada y oportunista que permitió a los actores de amenaza, un clúster de actividad emergente denominado UNC6395, emplear las tokens OAuth comprometidas asociadas con la deriva de SalesLoft para dirigirse a instancias de la fuerza de ventas del 8 al 18 de agosto de 2025.
Desde entonces, Salesloft ha revelado que Salesforce ha desactivado temporalmente la integración de deriva entre Salesforce, Slack y Pardot, solo para seguirlo casi tres horas luego, diciendo que Salesforce “ha seleccionado deshabilitar temporalmente todas las integraciones de SalesLoft con Salesforce”.
“Según la investigación hasta la época, no hay evidencia de actividades maliciosas detectadas en las integraciones de SalesLoft relacionadas con el incidente de deriva”, señaló. “Adicionalmente, en este momento, no hay indicios de que las integraciones de SalesLoft estén comprometidas o en peligro”.
