【防詐柴國際資安與反詐騙新聞】Drift OAuth 權杖遭滲透，恐影響大量企業

1. 內華達州政府遭逢大規模「網路安全事件」，導致辦公室關閉與系統中斷

   
   

   新聞重點：美國內華達州政府於 8 月 24 日起發現重大網路安全事件，迫使州政府多處辦公室、網站及電話系統關閉或中斷，緊急聯絡與 Governor 辦公室網站皆受影響，但 911 緊急服務仍可運作。當局指出目前沒有證據顯示個人資料遭到外洩，CISA 正協助恢復作業。

   
   

   為何重要：此事件造成關鍵公共政府服務癱瘓，不僅影響民眾日常與緊急需求，且可能引發詐騙集團假冒官方發送假消息或誘導支付。

   
   

   建議：

   • 強化備援與災害應變計畫，包括網段隔離與最低服務維持路徑；

   • 主動發布官方服務恢復公告，提升民眾驗證資訊的管道；

   • 教導民眾識別假冒政府通知，例如要求金錢或資料的可疑聯絡。

   
   
   
   
   
   

2. Salesloft Drift OAuth 權杖遭滲透，企業 Salesforce 與 Google Workspace 帳號恐大規模受影響

   
   

   新聞重點：自 8 月 8 日起，資安攻擊者透過 Salesloft 的第三方整合工具 Drift 竊取 OAuth 與 refresh tokens，橫向存取企業 Salesforce 多個實例並大量匯出資料（包含 AWS 金鑰、Snowflake Token、密碼等）。8 月 20 日起 Salesloft、Salesforce 陸續停用所有 Drift 相關連結；8 月 28 日起 Google 拓大警告範圍，指出不僅是 Salesforce，Drift Email 權杖也遭污染，並影響部分 Google Workspace 帳號，但 Google 核心服務未受影響。

   
   

   為何重要：這類 OAuth/整合型供應鏈攻擊繞過傳統身份驗證與多因素機制，讓攻擊者猶如擁有「主憑證」般自由橫移且難被察覺，風險範圍涵蓋大量企業資料系統。

   
   

   建議：

   • 緊急清點並撤銷所有 Drift 平台相關的 OAuth 權杖，實施憑證輪替與最小權限策略；

   • 檢查 Salesforce 與 Google Workspace 的異常 API 操作與資料匯出行為，回溯 SOQL 查詢紀錄；

   • 關閉非必要整合，並監控 OAuth Token 的使用模式，避免類似攻擊擴大。

   
   
   
   

📌 今日防詐提醒：

• 警惕假冒政府訊息：如接獲疑似來自官方的通知，務必以官方公告網站與客服比對，不要直接回應或點擊連結。

• 立即清查 OAuth 授權整合：Salesforce、Google Workspace 等平台的第三方整合應立即停用不明或未使用的權杖並進行輪替。

• 推動備災應變演練：確認機構是否具備網路中斷期間的最低服務持續計畫（COOP），定期進行演練並建立離線／多重備份。

⚠️ 防範詐騙，從你我開始，防詐柴關心您 👮

📱 加入防詐柴一鍵查詐騙： https://lin.ee/m6EgVwD

🆔 @ai_watch.dog