Suite à une « intrusion réussie » d' un groupe de pirates de mots de passe , Google aurait averti 2,5 milliards de titulaires de comptes Gmail . Selon l' étude , une attaque massive utilisant des jetons Open Authorization (OAuth) compromis a eu lieu entre le 8 et le 18 août . Le Google Threat Intelligence Group (GTIG) a découvert qu'en plus de cibler des comptes individuels , les pirates ont également ciblé la base de données de Salesforce , qui contient des données sur ses clients. L' entreprise a exhorté les utilisateurs de Gmail à protéger leurs comptes et à modifier leurs mots de passe.Selon certaines informations, le géant technologique basé à Mountain View aurait envoyé un e -mail aux utilisateurs de Gmail concernés pour les inciter à modifier immédiatement leur mot de passe et à renforcer la sécurité de leur compte en activant l' authentification à deux facteurs (2FA) . L' entreprise aurait également mis en garde les utilisateurs contre tout comportement suspect .
Selon un article de blog de GTIG, le même collectif de hackers connu sous le nom d' UNC6395 a été découvert comme participant à une vaste campagne de vol de données ciblant les données clients de Salesforce . Les jetons OAuth « associés à l' application tierce Salesloft Drift » ont été compromis, ce qui explique cet incident .
À titre préventif , Salesloft a invalidé tous les jetons d'accès et d'actualisation actifs provenant de l' application Drift . En attendant des recherches plus approfondies , Salesforce a également retiré Drift de son AppExchange.
Même si GTIG, Salesforce et Salesloft ont collaboré pour lutter contre cette attaque visant les entreprises , les utilisateurs de comptes Gmail doivent néanmoins prendre des mesures proactives pour sécuriser leurs comptes afin de se prémunir contre toute future violation de données . Google recommande plusieurs mesures pour protéger leurs comptes .
En plus de ces recommandations, Google a précisé que les utilisateurs doivent régulièrement vérifier l'activité récente de leur compte afin de détecter toute connexion suspecte. L'entreprise conseille également de révoquer l'accès aux applications tierces qui ne sont plus utilisées.
Les experts en cybersécurité soulignent que cette attaque illustre une fois de plus la vulnérabilité des systèmes basés sur OAuth, largement utilisés pour simplifier la connexion aux services en ligne. Ils recommandent aux entreprises de renforcer la surveillance de leurs API.
L'incident pourrait aussi entraîner un examen plus strict des pratiques de gestion des données dans le cloud, notamment pour les fournisseurs comme Salesforce, qui hébergent des informations sensibles de nombreuses sociétés.
télécharger le fichier texte ci-dessous