Google ha confirmado que una violación de seguridad que involucra la plataforma de deriva SalesLoft es más extensa de lo que inicialmente informado, lo que puede comprometer todos los tokens de autenticación conectados al servicio.
Los nuevos hallazgos del Grupo de Inteligencia de Amenazos de Google (GTIG) indican que el incidente, anteriormente que se creía que estaba limitado a las integraciones de Salesforce, afecta a todas las aplicaciones de terceros conectadas a la deriva.
Google ahora está asesorando a todos los clientes de SalesLoft Drift que consideren todos y cada uno de los tokens de autenticación almacenados o vinculados a la plataforma de deriva como potencialmente comprometidos y que tomen medidas correctivas inmediatas.
La investigación sobre la violación comenzó después de que GTIG identificó una campaña generalizada de robo de datos realizada por un actor de amenaza rastreado como UNC6395.
Tokens Oauth comprometidos
Entre el 8 de agosto y el 18 de agosto de 2025, el actor explotó los tokens OAuth comprometidos asociados con la aplicación de terceros de SalesLoft Drift para exportar sistemáticamente grandes volúmenes de datos de numerosas instancias de la fuerza de ventas corporativas.
GTIG evalúa que el motivo principal era cosechar credenciales confidenciales, incluidas las claves de acceso de Amazon Web Services (AWS), las contraseñas y los tokens de acceso relacionados con el copo de nieve de los datos exfiltrados.
En respuesta al descubrimiento inicial, SalesLoft, en colaboración con Salesforce, tomaron medidas el 20 de agosto de 2025. Revocaron todo el acceso activo y actualizaron los tokens para la aplicación Drift y la eliminaron temporalmente del Salesforce AppExchange.
En ese momento, ambas compañías creían que el impacto estaba contenido para los clientes que integraron la deriva con Salesforce.
Sin embargo, la investigación dio un giro crítico el 28 de agosto de 2025, cuando se confirmó que el actor de amenaza también había comprometido las tokens OAuth para la integración del “correo electrónico de deriva”.
La evidencia mostró que el 9 de agosto de 2025, el actor usó estos tokens para acceder a correos electrónicos de un número muy pequeño de cuentas del espacio de trabajo de Google que se habían configurado específicamente para integrarse con SalesLoft. Google ha aclarado que el actor no podría haber accedido a ninguna otra cuenta dentro del dominio del espacio de trabajo de un cliente.
“Para ser claros, no ha habido compromiso con el espacio de trabajo de Google o el alfabeto en sí”, un portavoz de Google fijado.
A la luz de estos nuevos hallazgos, Google ha tomado medidas rápidas para proteger a sus clientes. La compañía identificó a los usuarios impactados, revocó los tokens OAuth específicos otorgados a la aplicación de correo electrónico de deriva y deshabilitó la funcionalidad de integración entre Google Workspace y SalesLoft Drift en espera de una mayor investigación. Todos los administradores afectados del espacio de trabajo de Google están siendo notificados directamente.
El incidente destaca los complejos desafíos de seguridad planteados por aplicaciones de terceros interconectadas. Si bien la violación no se derivó de una vulnerabilidad dentro de las plataformas centrales de Google o Salesforce, demuestra cómo un compromiso en un servicio puede crear un efecto dominó en los sistemas integrados.
Salesloft ahora ha contratado a la firma de ciberseguridad Mandiant para ayudar en su investigación en curso y ha actualizado su aviso de seguridad.
Se recomienda encarecidamente a las organizaciones que usen SalesLoft Drift que tomen medidas defensivas inmediatas. Las recomendaciones incluyen realizar una revisión exhaustiva de todas las integraciones de terceros conectadas a su instancia de deriva, revocar y girar todas las credenciales asociadas e investigar activamente todos los sistemas conectados para cualquier signo de acceso no autorizado o actividad sospechosa.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
