Ein Sicherheitsvorfall rund um die Plattform Salesloft hat sich nach Erkenntnissen von Google Threat Intelligence (Mandiant) auf Integrationen des Chatbots Drift ausgeweitet. Angreifer erlangten Zugriff auf OAuth- und Refresh‑Token und nutzten diese, um Daten aus Salesforce und Google Workspace auszulesen. Die Aktivität erstreckt sich laut Telemetrie über den Zeitraum 8. bis 18. August 2025 und fällt größer aus als zunächst angenommen.
Was geschah: Zielobjekte, Zeitfenster und Umfang des Angriffs
Drift dient als KI‑Chat‑Layer und verknüpft Konversationen, Leads und Tickets mit Salesforce. Die Täter fokussierten den OAuth‑Autorisierungsfluss und kompromittierten Drift‑Client‑Token, die für die Salesforce‑Integration verwendet werden. Anschließend wurden Daten mithilfe dieser gültigen Berechtigungen extrahiert.
Nach Angaben von Salesloft zielten die Angreifer vor allem auf die Exfiltration von Geheimnissen wie AWS‑Zugangsschlüsseln, Passwörtern und Tokens (einschließlich Snowflake). Salesforce und Salesloft widerriefen daraufhin aktive Access‑ und Refresh‑Token für Drift; das Drift‑App‑Listing wurde vorsorglich aus dem Salesforce AppExchange entfernt, bis die Untersuchungen abgeschlossen sind.
Zeitleiste und Indikatoren
Die Kampagne weist verdächtige Aktivitäten im Fenster vom 8.–18. August 2025 auf. Betroffene sollten Logdaten auf diese Periode und darüber hinaus prüfen.
TTPs, Infrastruktur und verwertbare Spuren
Mandiant ordnet die Operation der Gruppe UNC6395 zu. Nach dem initialen Zugriff führten die Täter SOQL‑Abfragen in Salesforce aus, um Anmeldedaten und Secrets aus Support‑Tickets und CRM‑Feldern zu extrahieren – ein klassisches Beispiel für Laterale Bewegung über vertrauenswürdige Systeme. Teilweise wurden Abfrage‑Jobs gelöscht, um Spuren zu verwischen; relevante Protokolle sind jedoch forensisch weiterhin auswertbar.
Zur Verschleierung kamen Tor sowie Infrastruktur bei AWS und DigitalOcean zum Einsatz. Auffällige User‑Agents in den Logs umfassen python‑requests/2.32.4, Python/3.11 aiohttp/3.12.15 sowie Bezeichnungen wie Salesforce‑Multi‑Org‑Fetcher/1.0 und Salesforce‑CLI/1.0.
Über Salesforce hinaus: kompromittierte Google‑Workspace‑Konten
Google berichtet, dass Drift Email‑OAuth‑Token am 9. August zum Zugriff auf E‑Mail‑Postfächer einer „kleinen Zahl“ von Google‑Workspace‑Konten missbraucht wurden, die mit Drift integriert waren. Damit reicht der Vorfall über die Kette Drift–Salesforce hinaus und betrifft weitere Konnektoren.
Empfehlung von Google: Organisationen, die Drift einsetzen, sollten alle in Drift gespeicherten oder angebundenen Authentifizierungs‑Token als potenziell kompromittiert betrachten. In Reaktion wurden Drift‑Integrationen zu Salesforce, Slack und Pardot temporär deaktiviert.
Attribution und parallele Aktivitäten
Obwohl Mandiant die Aktivitäten UNC6395 zuschreibt, hatte die Gruppe ShinyHunters zwischenzeitlich Beteiligung behauptet und später insbesondere beim Ticket‑Exfiltrationsaspekt dementiert. Im Umfeld jüngster Salesforce‑bezogener Ereignisse wurden prominente Marken genannt, darunter Adidas, Qantas, Allianz Life, mehrere LVMH‑Häuser (Louis Vuitton, Dior, Tiffany & Co), Cisco.com, Chanel und Pandora. Berichtet wurde zudem über eine Zusammenarbeit mit Scattered Spider (Alias Sp1d3rHunters) für Initialzugriffe.
Systemische Risiken: OAuth‑Wiederverwendung und Schatten‑Secrets
Technisch entspricht die Methode dem MITRE‑ATT&CK‑Pattern T1550 – Use of Alternate Authentication Material: Gültige Token umgehen Passwort‑ und MFA‑Kontrollen. Zusätzliche Risiken entstehen, wenn Secrets in Support‑Tickets oder CRM‑Feldern landen und damit außerhalb von Secret‑Management und DLP‑Policies liegen. Vergleichbare Schwachstellen sind in Best Practices von OWASP und NIST SP 800‑63 adressiert und unterstreichen die Notwendigkeit kurzer Token‑Lebensdauern, Least Privilege und strikter Audit‑Kontrollen.
Sofortmaßnahmen: Prioritäten für Incident Response und Härtung
1) Token‑Kompromittierung annehmen: Alle Drift‑bezogenen OAuth‑/Refresh‑Token widerrufen und neu ausstellen (Salesforce, Google Workspace, Slack, Pardot u. a.). In Salesforce Connected Apps, OAuth‑Policies und Token‑Scopes prüfen; in Google Workspace App Access Control und OAuth Token Audit auswerten.
2) Secrets rotieren und Seitentüren schließen: AWS‑IAM‑Schlüssel, Passwörter sowie Snowflake‑ und weitere SaaS/Cloud‑Tokens erneuern. Drift‑Berechtigungen strikt nach Least Privilege zuschneiden.
3) Logs und IoCs analysieren: Ungewöhnliche SOQL‑Queries, Massen‑Exporte, gelöschte Query‑Jobs; Zugriffe über Tor, AWS/DO‑IP‑Netze; User‑Agents python‑requests/2.32.4, Python/3.11 aiohttp/3.12.15, Salesforce‑Multi‑Org‑Fetcher/1.0, Salesforce‑CLI/1.0. Zeitfenster: 8.–18. August 2025 und Folgeaktivitäten.
4) Secret‑Hygiene und DLP durchsetzen: Verbot von Schlüsseln/Tokens in Tickets und CRM‑Feldern; automatische Erkennung, Maskierung und Entnahme per DLP; Verlagerung sensibler Daten in dedizierte Secret‑Stores.
5) OAuth‑Kontrollen schärfen: Refresh‑Token‑Lebensdauer reduzieren, ungenutzte Grants widerrufen, Netzwerk‑Bindungen (IP/Zonen) nutzen, hochassurante Re‑Auth für sensitive Aktionen verlangen.
Der Vorfall zeigt, wie der Missbrauch von OAuth‑Token und schlecht verwaltete „Schatten‑Secrets“ zu kettenartigen Cloud‑Kompromittierungen führen kann. Organisationen sollten Integrationen sofort überprüfen, Tokens widerrufen, Secrets rotieren und DLP‑Regeln durchsetzen. Wer Token‑Wiederverwendung frühzeitig unterbindet und Datenspeicher von Credentials bereinigt, reduziert das Risiko weiterer Ausbreitung signifikant.
