Cum Material Security asigură protecția Google Workspace în urma incidentelor cu tokenuri Drift și Salesloft

Când serviciile moderne comunică prin tokenuri și integrări, riscurile depășesc simpla pagină de autentificare: compromiterea unui cont terț poate deschide accesul la emailuri și fișiere sensibile. Acest lucru s‑a văzut recent în incidentele legate de Salesloft și Drift, care au afectat utilizatori Google Workspace după ce tokenuri compromise au fost folosite pentru a accesa cutii poștale integrate cu Drift.

Atacul a fost inițiat de același grup care anterior a exploatat tokenuri OAuth pentru a extrage date din Salesforce. În prima jumătate a lunii august, aceștia au utilizat tokenuri de e‑mail Drift furate pentru a pătrunde în câteva conturi Gmail conectate la Drift. Pe 9 august, Google a confirmat activitatea, a revocat tokenurile și a dezactivat integrarea afectată. Concluzia tehnică: nu a fost „spart Google”, ci a fost exploatată o integrare de încredere, iar atacatorii au obținut exact ce căutau, date.

În ultimele luni, organizațiile au consolidat identitățile, au impus MFA și au eliminat protocoale învechite. Totuși, aceste măsuri nu sunt suficiente când cineva deține un token legitim cu permisiuni adecvate. Suprafața de atac s‑a schimbat: nu mai este vorba doar despre cine s‑a autentificat, ci despre ce poate face o aplicație după ce primește acces. Rețeaua de granturi OAuth și permisiunile API, ce se poate numi app graph, reprezintă noul front de apărare.

După divulgare, multe echipe au reacționat calm, dar eficient: au scanat pentru indicatori de compromitere, au cartografiat conexiunile Drift, au eliminat accesul neesențial și au rotit cheile. Pentru organizațiile care au implementat protecții la nivel de conținut, timpul de „dwell” al atacatorului devine mai puțin important: chiar dacă tokenul oferea acces la cutie, datele sensibile au rămas inaccesibile până la o verificare umană suplimentară. Principiul e simplu: presupune încălcări și proiectează astfel încât „ținta” să nu fie accesibilă automat.

Modelul folosit în aceste atacuri nu e unul nou: actorii urmăresc tokenuri și acces legitim, nu doar compromisuri de endpoint. Schema e reproductibilă: obții tokenuri valide, rulezi interogări la volum mare și exfiltrezi date. Am observat același tipar în atacurile asupra Snowflake și în alte incidente, furt de tokenuri, căutare de exporturi și secrete, pivotare către alte resurse. Curățenia post‑incident urmează pași similari: căutare de secrete în e‑mailuri și fișiere, rotație de chei, resetare de tokenuri și reevaluare a acceselor aplicațiilor.

Ce ar trebui să însemne reziliența într‑un Google Workspace modern? Nu e de ajuns să previi amenințările inbound; trebuie să proiectezi pentru conținere și recuperare. Tratează Workspace ca infrastructură critică, cu semnale proprii, moduri de eșec și rază de impact definite. Protecția eficientă operează pe trei niveluri: integrări, identități și conținut.

La nivelul integrărilor, soluția este vizibilitatea și controlul: inventarierea tuturor aplicațiilor terțe care accesează Gmail, Drive, Calendar și Admin API; eliminarea celor inutile; reducerea scope‑urilor pentru cele păstrate; monitorizarea granturilor noi cu risc ridicat ca și cum ar fi conturi admin. Într‑un incident similar celui cu Drift, măsura imediată trebuie să fie revocarea în masă și rotația, nu așteptarea dovezilor perfecte din loguri. Răspunsul platformei pe 9 august a fost prompt; răspunsul intern ar trebui să fie la fel de rapid.

La nivelul identităților, MFA nu mai este doar o cerință de conformitate. Metodele rezistente la phishing trebuie să devină standardul minim. Protocoalele vechi precum IMAP și POP, precum și parolele de aplicație care oferă acces de lungă durată, trebuie eliminate. Trebuie anticipate atacuri de tip consent‑phishing și replay de tokenuri. Totuși, consolidarea identității nu e suficientă: detectarea comportamentelor anormale în mediul intern, modele de acces la date, reguli de e‑mail create, partajări de fișiere, este esențială. Atacatorii devin tot mai abili în a‑și ascunde urmele, astfel detectarea și răspunsul în timp real sunt critice.

Cea mai importantă protecție rămâne controlul asupra conținutului. Dacă o integrare sau o sesiune compromisă poate citi totul dintr‑o cutie executivă, celelalte măsuri devin irelevante. Implementarea unui MFA la nivel de mesaj schimbă regulile: fire sensibile, arhive legale și corespondențe reglementate rămân blocate până când o persoană validează intenția în momentul accesului. Această abordare transformă un token furat dintr‑un dezastru într‑un inconvenient și oferă timp pentru revocări, rotații și curățenie.

Toate aceste controale sunt utile doar dacă echipa le poate aplica sub presiune sau dacă ele acționează automat, la viteza mașinilor. Automatizarea playbook‑urilor care folosesc telemetria nativă din Workspace pentru a revoca tokenuri, suspende conturi cu comportament anormal, izola emailuri cu noi indicatori sau bloca partajările riscante din Drive este esențială. Astfel, o aplicație compromisă nu va reuși să acceseze imediat documentele sensibile.

Material Security afirmă că a dezvoltat soluții pentru acest tip de realitate în Google Workspace: protecție la nivel de conținut cu MFA pe mesaj, acces just‑in‑time și control al partajărilor riscante din Drive, plus guvernanță OAuth care oferă vizibilitate asupra aplicațiilor cu scope‑uri periculoase și permite revocarea automată a celor învechite. Aceste măsuri complică abuzul Workspace chiar și când tokenuri valide ajung în mâini greșite.

Lecțiile practice sunt evidente: presupune abuzul integrărilor, scurgeri de tokenuri și inventivitatea atacatorilor. Proiectează astfel încât aceste ipoteze să nu transforme un incident într‑un titlu de presă. Episoade precum Salesloft/Drift vor continua sub alte denumiri, dar linia comună va rămâne: cei mai eficienți apărători sunt cei care protejează direct ținta și care acceptă că, la un moment dat, cineva va trece dincolo de prag.

Material Security menționează mecanisme specifice precum message‑level MFA, rotația tokenurilor și vizibilitatea granturilor OAuth, oferind și date concrete: incidentul a fost confirmat pe 9 august, atacatorii au folosit tokenuri Drift pentru a accesa conturi Gmail integrate, iar remedierea a implicat revocări și dezactivarea integrării. Aceste detalii ilustrează pașii practici urmați de echipele de securitate: scanare pentru IOCs, curățarea integrărilor, rotație de chei și automatizarea răspunsului. Care dintre aceste măsuri crezi că ar fi cea mai dificilă de implementat în organizația ta?

Fii primul care comentează

Lasă un răspuns

Adresa ta de email nu va fi publicată.


*