Großangelegte Datendiebstähle über Salesloft Drift treffen Salesforce-Instanzen
Die Google Threat Intelligence Group (GTIG) und Mandiant haben eine umfangreiche Angriffskampagne durch den Akteur UNC6395 aufgedeckt. Dabei wurden kompromittierte OAuth-Tokens aus der Drittanbieter-App Salesloft Drift genutzt, um auf zahlreiche Salesforce-Instanzen zuzugreifen und große Mengen an Unternehmensdaten zu exfiltrieren.
- Betroffen: Salesforce-Integrationen mit Salesloft Drift, inzwischen auch weitere Drift-Integrationen (inkl. Drift Email).
- Datenzugriff: u. a. auf Accounts, Cases, Opportunities und User-Daten; gezielt gesucht wurde nach Zugangsdaten und Secrets (z. B. AWS Keys, Snowflake Tokens, Passwörter).
- Maßnahmen: Salesforce und Salesloft haben am 20. August alle Drift-Tokens widerrufen und die App aus dem AppExchange entfernt. Google hat verdächtige OAuth-Tokens zurückgezogen und die Drift-Integration in Workspace deaktiviert.
Alle Drift-Kunden sollten Authentifizierungstokens widerrufen und neu ausstellen, ihre Systeme auf unbefugten Zugriff prüfen und alle Integrationen überprüfen.