Google widerspricht: Keine größere Gmail-Sicherheitslücke

Berichte machen seit Kurzem die Runde, dass 2,5 Milliarden Gmail-Konten in Gefahr seien. Jetzt sieht Google sich genötigt, dazu Stellung zu beziehen. In einer ungewöhnlichen Reaktion betont das Unternehmen, dass seine Schutzmechanismen „stark und effektiv“ sind.

Das hat Google am Montag im Workspace-Blog bekanntgegeben. „Die Schutzmechanismen von Google Mail sind stark und effektiv, und die Behauptungen über eine größere Google Mail-Sicherheitswarnung sind falsch“, übertitelt Google den Beitrag und erklärt darin, dass „mehrere nicht zutreffende Behauptungen kürzlich aufgetaucht seien, dass wir eine breite Warnung an alle Gmail-Nutzerinnen und -Nutzer über ein großes Gmail-Sicherheitsproblem herausgegeben haben“. Das sei komplett falsch.

Spurensuche

„Obwohl Phisher immer nach Wegen suchen, um auf Postfächer zuzugreifen, blockieren unsere Schutzmechanismen weiterhin mehr als 99,9 Prozent der Versuche mit Phishing und Malware, damit sie die Benutzer nicht erreichen“, erklärt Google weiter.

Ein Zusammenhang der Meldungen mit kompromittierten Anmeldetoken in der KI-Chatbot-Plattform Salesloft Drift liegt jedoch nahe. Die Untersuchung hatte Googles Threat Intelligence Group (GTIG) am Wochenende aktualisiert.

Demnach fanden die GTIG-Forscher heraus, dass auch OAuth-Token aus der „Salesloft Drift Email“-Integration von kriminellen Gruppierungen missbraucht wurden, um Zugriff auf E-Mails in Google-Workspace-Zugängen zu erlangen. Zugriff war damit auf Workspace-Konten möglich, die die Salesloft-Drift-Integration genutzt haben. Alle Admins von betroffenen Google Workspaces hat Google benachrichtigt – das passt zeitlich und thematisch mit den laut Google fehlerhaften Berichten zusammen.

Das Salesloft-Drift-Problem ist tatsächlich weitreichender und betrifft auch andere Anbieter als Google. Das IT-Sicherheitsunternehmen Zscaler nutzt die KI-Chatbots von Salesloft. Wie Zscaler nun bekannt gegeben hat, haben Kriminelle mit kompromittierten Zugangstoken auch auf Zscalers Salesforce-Instanzen Zugriff erlangt und konnten dabei Kundendaten einsehen. Dazu gehören Namen, Geschäfts-E-Mail-Adressen, Job-Bezeichnungen, Telefonnummern, Informationen zum Aufenthaltsort, Daten zu lizenzierten Zscaler-Produkten und kommerzielle Informationen sowie Klartextinformationen zu bestimmten Supportfällen – immerhin ohne Anhänge, Dateien und Bilder.

Google gibt abschließend den Ratschlag, für zusätzlichen Schutz die Passwortalternative Passkeys zu nutzen und die Anleitung zur „Vermeidung von Phishing-E-Mails“ umzusetzen. Das ist zwar grundsätzlich kein schlechter Tipp. Wie das jedoch kompromittierte OAuth-Token verhindern soll, die Drittanbieter nicht korrekt geschützt haben, erörtert Google nicht.

(dmk)