Salesloft hat die Plattform Drift am 5. September vorübergehend deaktiviert, nachdem bei einem großangelegten Supply-Chain-Angriff OAuth‑ und Refresh‑Token von Kunden kompromittiert wurden. Das Unternehmen begründet den Schritt mit der Notwendigkeit eines umfassenden Forensik‑Audits und zusätzlicher Härtungsmaßnahmen, bevor der Dienst wieder in Betrieb geht.
Was passiert ist: Drift-Integrationen als Einfallstor
Betroffen ist Salesloft Drift, die Integrationsschicht für den KI‑Chatbot Drift mit CRM‑Systemen und weiteren SaaS‑Diensten. Während anfänglich eine Verknüpfung mit Salesforce im Fokus stand, wurde später klar, dass alle mit Drift verbundenen Plattformen potenziell angreifbar waren, darunter Google Workspace und weitere SaaS‑Integrationen.
Zeitraum und Reichweite: Hunderte Unternehmen betroffen
Laut Unternehmensangaben und Partnern zog sich die Kampagne vom 8. bis 18. August 2025 und hatte erheblichen Umfang. Nach derzeitiger Einschätzung könnten die Folgen über 700 Organisationen betreffen. Als bereits betroffene Unternehmen wurden unter anderem Zscaler, Proofpoint, Palo Alto Networks, Workiva, PagerDuty, Exclaimer und Cloudflare genannt.
Angriffstechnik: Warum gestohlene OAuth‑Token so gefährlich sind
Im Mittelpunkt stand der Diebstahl von OAuth‑ und Refresh‑Token aus Drift‑Integrationen. OAuth‑Token gewähren Anwendungen Zugriff auf Daten, ohne dass Passwörter weitergegeben werden. Refresh‑Token verlängern diesen Zugriff automatisch. Gelangen Angreifer in deren Besitz, können sie Anwendungen glaubhaft imitieren, auf E‑Mail‑ und CRM‑Daten zugreifen, Einträge erstellen oder verändern und sich persistieren – oft ohne klassische Login‑Alarme oder MFA‑Aufforderungen auszulösen.
Praxisbeispiele und Branchenquellen
Vergleichbare Muster waren bereits in früheren Fällen sichtbar: Beim GitHub/Heroku‑Vorfall 2022 wurden OAuth‑Token missbraucht, um auf Repositories zuzugreifen; der CircleCI‑Breach 2023 führte zur Kompromittierung von Secrets in Kundenumgebungen; und Microsofts Storm‑0558‑Fall 2023 zeigte die Tragweite von Token‑Missbrauch in E‑Mail‑Umgebungen. Branchenberichte der Cloud Security Alliance (CSA) und Analysen von Mandiant warnen seit Jahren vor überprivilegierten SaaS‑Scopes und unzureichender Token‑Governance.
Attribution und Ermittlungen
Die Aktivität wird dem Bedrohungscluster UNC6395 zugeordnet, der bei Cloudflare unter GRUB1 geführt wird. Der initiale Angriffsvektor in die Salesloft‑Drift‑Umgebung ist noch nicht abschließend geklärt. Salesloft arbeitet bei der Incident Response mit Mandiant und Coalition zusammen, während Google die Kampagne zeitlich einordnet und über betroffene OAuth‑Flows informiert.
Auswirkungen auf Kunden und Betrieb
Während der Untersuchung sind der Drift‑Chatbot auf Kundenwebseiten sowie Drift Fastlane und Drift Email nicht verfügbar. Ein Termin für die vollständige Wiederherstellung wurde nicht genannt. Für betroffene Unternehmen können Lead‑Generierung, Vertriebsautomatisierung und Support‑Workflows temporär beeinträchtigt sein; Parallelmaßnahmen (z. B. statische Kontaktformulare, alternative Chat‑Widgets) sollten kurzfristig bereitgestellt werden.
Systemischer SaaS‑Risikohebel: SaaS‑zu‑SaaS‑Integrationen
Der Vorfall verdeutlicht das strukturelle Risiko von SaaS‑zu‑SaaS‑Modellen: Vertrauensketten und weitreichende OAuth‑Scopes ermöglichen lateral movement über Anwendungsgrenzen hinweg. Ohne feingranulare Rechte, transparente Abhängigkeiten und kontinuierliche Überwachung bleiben unautorisierte Zugriffe oft unentdeckt – bis Anomalien in Logs, Mail‑Regeln oder CRM‑Datensätzen auffallen. SSPM‑Kontrollen, App‑Allowlisting und strikte Scope‑Reviews sind hier entscheidend.
Sofortmaßnahmen: Was Unternehmen jetzt tun sollten
1) Token und Schlüssel rotieren: Alle Drift‑bezogenen OAuth‑Grants widerrufen, Refresh‑Token und API‑Keys in Salesforce, Google Workspace und weiteren Integrationen neu ausstellen; Re‑Consent erzwingen.
2) Authentifizierung und Scopes härten: Conditional Access verschärfen, Scopes auf das Minimum begrenzen, kurze Token‑Lebenszeiten durchsetzen und Service‑Accounts isolieren.
3) Forensik in Logs: OAuth‑ und Zugriffslogs für den Zeitraum 8.–18. August 2025 und danach prüfen; auffällige ASN/Geos, neue Mail‑Regeln, Massenoperationen in CRM und API‑Anomalien korrelieren (z. B. via SIEM/UEBA).
4) Monitoring automatisieren: Alerts für neue Grants/Token‑Ausgaben, Rechte‑Eskalationen und ungewöhnliche API‑Pfad‑ oder Rate‑Muster aktivieren; CASB und SSPM zur Sichtbarkeit über SaaS‑Apps nutzen.
5) Lieferantensteuerung: Third‑
