Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Kwetsbaarheid Datalek Salesloft

Datalek Salesloft

Tegen Mezo in Kwetsbaarheid, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Een grootschalige cyberaanval heeft de integratie van Salesloft met de Drift AI-chatagent in gevaar gebracht, waardoor hackers OAuth konden stelen en tokens konden vernieuwen. De cybercrimineel, die werd gevolgd als UNC6395, misbruikte deze gestolen tokens om in te breken in Salesforce-klantomgevingen. Beveiligingsexperts hebben meer dan 700 organisaties geïdentificeerd als potentieel getroffen.

Tijdlijn van de inbreuk

Onderzoek wijst uit dat de kwaadaardige activiteit plaatsvond van 8 tot en met 18 augustus 2025. Gedurende deze periode maakten de aanvallers gebruik van gecompromitteerde OAuth-tokens die aan Drift waren gekoppeld om Salesforce-instanties te infiltreren. Eenmaal binnen, exporteerden ze enorme hoeveelheden bedrijfsgegevens om gevoelige inloggegevens te verzamelen, zoals:

  • Toegangssleutels voor Amazon Web Services (AWS)
  • Wachtwoorden
  • Snowflake-gerelateerde tokens

Aanvalsmethoden en vakmanschap

Wat deze campagne uniek maakt, is de methodische precisie van UNC6395. Ze voerden geen eenmalige inbraak uit, maar lanceerden gestructureerde en herhaalde aanvallen op honderden Salesforce-tenants. Belangrijke observaties zijn:

Gedisciplineerde uitvoering – Er werden systematisch query’s uitgevoerd om inloggegevens te identificeren en te extraheren.

Operationeel bewustzijn – De aanvallers verwijderden querytaken om sporen van hun activiteiten te verbergen.

Doelwitselectie – Veel van de organisaties die het slachtoffer werden van een cyberaanval, waren technologie- en beveiligingsleveranciers. Dit suggereert dat het hier mogelijk om een poging tot infiltratie in de toeleveringsketen gaat.

Door leveranciers en dienstverleners te compromitteren, positioneerde de groep zichzelf om aanvallen uit te breiden naar ecosystemen van klanten en partners.

Reactie van Salesloft en Salesforce

Salesloft gaf op 20 augustus 2025 een waarschuwing uit waarin het de inbreuk erkende en bevestigde dat alle Drift-Salesforce-verbindingen waren ingetrokken. Salesforce volgde met een eigen verklaring, waarin werd opgemerkt dat slechts een 'klein aantal klanten' direct was getroffen. Beide bedrijven hebben na het incident onmiddellijk maatregelen genomen:

  • Ongeldige actieve toegang- en vernieuwingstokens
  • Drift verwijderd uit AppExchange
  • Samengewerkt om de aanval in te dammen en de impact te beoordelen

Salesloft benadrukte dat het incident geen gevolgen heeft voor organisaties zonder Salesforce-integraties.

Breder dreigingslandschap

Salesforce-omgevingen zijn steeds vaker lucratieve doelen geworden voor financieel gemotiveerde groepen. Andere clusters, zoals UNC6040 en UNC6240 (ShinyHunters), staan erom bekend SaaS-omgevingen te exploiteren. UNC6240 werkt zelfs samen met Scattered Spider (UNC3944) voor initiële toegangscampagnes.

Momenteel is er geen bewijs dat UNC6395 aan deze groepen gelinkt is, wat het een nieuwe en aparte dreigingscluster maakt. De omvang, focus en verfijning van de campagne plaatsen het echter in dezelfde klasse als die van zeer risicovolle tegenstanders.

Mitigatie en volgende stappen

Salesloft heeft externe beveiligingsleveranciers ingeschakeld ter ondersteuning van onderzoeken en herstelwerkzaamheden. Het bedrijf dringt er bij beheerders op aan Salesforce-verbindingen opnieuw te verifiëren om integraties te herstellen en aanvullende beveiligingsmaatregelen te nemen.

Belangrijke aanbevelingen zijn:

  • Bestaande API-sleutels intrekken en roteren
  • Drift-integraties opnieuw verbinden met nieuwe sleutels
  • Logboeken controleren op verdachte zoekopdrachten en mogelijke blootstelling van gegevens
  • Het uitvoeren van diepere onderzoeken om de impact te bepalen

Voor organisaties die Drift-verbindingen beheren via API-sleutels, wordt proactieve sleutelrotatie sterk aanbevolen. OAuth-integraties worden echter al rechtstreeks door Salesloft verzorgd.

Laatste afhaalmaaltijd

Deze campagne benadrukt de groeiende risico's van integraties van derden binnen SaaS-ecosystemen. Door misbruik te maken van gestolen OAuth-tokens, toonde UNC6395 aan dat het gerichte, heimelijke en supply chain-gerichte operaties kan uitvoeren. Het evenement herinnert eraan dat cloudgebaseerde platforms, hoewel krachtig, belangrijke doelwitten blijven voor cybercriminelen die vertrouwensrelaties in de digitale supply chain willen uitbuiten.

Trending

Meest bekeken

Bezig met laden...