Salesloft-databrudd
Et storstilt cyberangrep har kompromittert Saleslofts integrasjon med Drift AI-chat-agenten, noe som gjør det mulig for hackere å stjele OAuth og oppdatere tokener. Trusselaktøren, sporet som UNC6395, utnyttet disse stjålne tokenene til å bryte seg inn i Salesforce-kundemiljøer. Sikkerhetseksperter har identifisert over 700 organisasjoner som potensielt berørt.
Innholdsfortegnelse
Tidslinje for bruddet
Undersøkelser viser at den ondsinnede aktiviteten strakte seg fra 8. til 18. august 2025. I løpet av denne perioden utnyttet angriperne kompromitterte OAuth-tokener knyttet til Drift for å infiltrere Salesforce-forekomster. Da de var inne, eksporterte de enorme mengder bedriftsdata med mål om å samle inn sensitive legitimasjonsopplysninger som:
- Amazon Web Services (AWS) tilgangsnøkler
- Passord
- Snøfnugg-relaterte tokens
Angrepsmetoder og håndverk
Det som gjør at denne kampanjen skiller seg ut er den metodiske presisjonen til UNC6395. De utførte ikke et engangsinnbrudd, men lanserte i stedet strukturerte og gjentatte angrep på hundrevis av Salesforce-leiere. Viktige observasjoner inkluderer:
Disiplinert utførelse – Spørringer ble systematisk kjørt for å identifisere og trekke ut legitimasjonsinformasjon.
Operasjonell bevissthet – Angriperne slettet spørrejobber for å skjule spor etter aktivitetene sine.
Valg av mål – Mange av de krenkede organisasjonene var teknologi- og sikkerhetsleverandører, noe som tyder på at dette kan være et forsøk på infiltrasjon i forsyningskjeden.
Ved å kompromittere leverandører og tjenesteleverandører, posisjonerte gruppen seg for å utvide angrep nedstrøms til kunde- og partnerøkosystemer.
Svar fra Salesloft og Salesforce
Salesloft utstedte en melding 20. august 2025, der de anerkjente sikkerhetsbruddet og bekreftet at de hadde tilbakekalt alle Drift–Salesforce-tilkoblinger. Salesforce fulgte opp med sin egen uttalelse, og bemerket at bare et «lite antall kunder» var direkte berørt. Begge selskapene har tatt umiddelbare skritt etter hendelsen:
- Ugyldige aktive tilgangs- og oppdateringstokener
- Fjernet Drift fra AppExchange
- Samarbeidet for å begrense angrepet og vurdere konsekvensene
Salesloft understreket at hendelsen ikke påvirker organisasjoner uten Salesforce-integrasjoner.
Bredere trussellandskap
Salesforce-miljøer har i økende grad blitt lukrative mål for økonomisk motiverte grupper. Andre klynger, som UNC6040 og UNC6240 (ShinyHunters), er kjent for å utnytte SaaS-miljøer, og UNC6240 har til og med inngått et samarbeid med Scattered Spider (UNC3944) for innledende tilgangskampanjer.
For øyeblikket finnes det ingen bevis som knytter UNC6395 til disse gruppene, noe som gjør den til en ny og distinkt trusselklynge. Omfanget, fokuset og raffinementet til kampanjen plasserer den imidlertid i samme liga som høyrisikomotstandere.
Tiltaksavbøtende tiltak og neste trinn
Salesloft har engasjert tredjeparts sikkerhetsleverandører for å støtte etterforskning og utbedringstiltak. Selskapet oppfordrer administratorer til å autentisere Salesforce-tilkoblinger på nytt for å gjenopprette integrasjoner og ta ytterligere sikkerhetstiltak.
Viktige anbefalinger inkluderer:
- Tilbakekalling og rotering av eksisterende API-nøkler
- Koble Drift-integrasjoner til igjen med nye nøkler
- Gjennomgang av logger for mistenkelige spørringer og potensiell dataeksponering
- Gjennomføre dypere undersøkelser for å bestemme virkningen
For organisasjoner som administrerer Drift-tilkoblinger via API-nøkler, anbefales proaktiv nøkkelrotasjon på det sterkeste. OAuth-integrasjoner blir imidlertid allerede tatt hånd om direkte av Salesloft.
Endelig konklusjon
Denne kampanjen fremhever de økende risikoene ved tredjepartsintegrasjoner i SaaS-økosystemer. Ved å misbruke stjålne OAuth-tokens demonstrerte UNC6395 evnen til å utføre målrettede, skjulte og forsyningskjedeorienterte operasjoner. Arrangementet tjener som en påminnelse om at skybaserte plattformer, selv om de er kraftige, fortsatt er primære mål for trusselaktører som ønsker å utnytte tillitsforhold på tvers av den digitale forsyningskjeden.
