Ein großangelegter Supply-Chain-Angriff auf die Integrationsplattform Salesloft Drift hat zur Kompromittierung von OAuth- und Refresh-Token geführt und in der Folge unautorisierten Zugriff auf Salesforce-Daten zahlreicher Unternehmen ermöglicht. Bestätigt betroffen sind unter anderem Zscaler, Palo Alto Networks, Cloudflare, Workiva, PagerDuty und Exclaimer. Laut Google handelt es sich um einen Vorfall mit breiter Wirkung, der auch Google-Workspace-Daten einschließt.
Supply-Chain-Angriff auf Salesforce-Integrationen: Was genau passiert ist
Die Plattform Salesloft Drift verbindet den Drift-Chatbot mit Salesforce sowie weiteren Diensten wie Slack und Google Workspace, um Leads, Dialoge und Supportfälle zu synchronisieren. Zwischen dem 8. und 18. August 2025 verschafften sich Angreifer Zugriff auf Kundentoken von Drift, die zur Salesforce-Integration genutzt wurden, und zogen über die API Daten aus betroffenen CRM-Instanzen ab. Google empfiehlt Organisationen mit einer Drift–Salesforce-Integration, von einer Kompromittierung auszugehen.
Betroffene Organisationen und Auswirkungen auf CRM- und Support-Daten
Zscaler: Eingeschränkter CRM-Zugriff und Warnung vor Social Engineering
Zscaler berichtet, dass Unbefugte Drift-Zugangsdaten erlangt haben und dadurch begrenzten Zugriff auf ausgewählte Salesforce-Daten hatten. Produkte, Services und Infrastruktur seien nicht betroffen. Das Unternehmen rät Kunden zu erhöhter Wachsamkeit gegenüber Phishing und Social-Engineering-Versuchen.
Palo Alto Networks: Verkaufsdaten und Support-Metadaten
Bei Palo Alto Networks wurden interne CRM-Kontakte, verknüpfte Angaben und Vertriebsaufzeichnungen abgegriffen. Supportdaten seien auf Kontaktdetails und Textkommentare beschränkt, ohne Dateien oder Anhänge. Die betroffene App wurde in Salesforce deaktiviert und der Vorfall isoliert.
Cloudflare: 104 API-Token widerrufen
Cloudflare meldet unautorisierten Zugriff auf eine Salesforce-Instanz für Kunden-Support. Dabei wurden 104 Cloudflare-API-Token identifiziert und umgehend widerrufen; missbräuchliche Nutzung wurde nicht beobachtet. Da Support-Tickets sensible Informationen enthalten können, empfiehlt Cloudflare, alle über den Support geteilten Zugangsdaten umgehend zu rotieren.
Weitere Fälle und Attribution
Auch Workiva, PagerDuty, Exclaimer, Tanium, SpyCloud, Astrix Security und Cloudinary berichten über kompromittierte Salesforce-Daten. Google ordnet die Kampagne der Gruppe UNC6395 zu, während sich die Gruppe ShinyHunters gegenüber BleepingComputer als Urheber ausgab. Frühere, der ShinyHunters-Umgebung zugeschriebene Leaks betrafen u. a. Adidas, Qantas, Allianz Life, Marken der LVMH-Gruppe, Cisco.com, Chanel und Pandora.
Warum kompromittierte OAuth-/Refresh-Token SaaS besonders gefährden
OAuth- und Refresh-Token umgehen Passwörter und MFA und ermöglichen dauerhaften API-Zugriff, oft mit weitreichenden Berechtigungen. In Salesforce liegen hochgradig verwertbare Daten: Kontaktprofile, Interaktionshistorien und Konfigurationen. Das erleichtert zielgerichtetes Phishing, Business Email Compromise (BEC) und das Laterale-Pivoting in verbundene SaaS-Dienste. Das Ereignis zeigt die Verwundbarkeit der Supply Chain: Nicht der Kern, sondern vertrauenswürdige Drittintegrationen mit überzogenen Scopes sind häufig das schwächste Glied.
Konkrete Maßnahmen: Härtung von Salesforce und der SaaS-Landschaft
Organisationen sollten zeitnah handeln, um Folgeschäden zu begrenzen und Resilienz aufzubauen:
- Token widerrufen/rotieren: Alle OAuth-/Refresh-Token für Drift und weitere Dritt-Apps neu ausstellen; Integrationen bei Bedarf temporär deaktivieren.
- Scopes minimieren: Connected-Apps in Salesforce nach Least Privilege neu bewerten; unnötige Berechtigungen entziehen.
- Logs prüfen: Salesforce Event Monitoring und API Audit Trail auf Anomalien im Zeitraum 8.–18. August 2025 und danach untersuchen.
- Zugriff härten: IP-Restriktionen, MFA, kurze Token-Laufzeiten und Just-in-Time-Zugriff durchsetzen.
- Geheimnisse sanieren: Support-Tickets und Anhänge von Secrets bereinigen; DLP und automatische Secret-Redaktion aktivieren.
- Credentials rotieren und informieren: Alle über Support geteilten Zugangsdaten erneuern; Kunden/Partner proaktiv benachrichtigen.
- Dauerhafte Kontrolle: SSPM/CASB einsetzen, um SaaS-Konfigurationen und riskante Integrationen kontinuierlich zu überwachen.
Die Lehre aus diesem Vorfall ist klar: Die Sicherheit der SaaS-Ökosysteme wird von Integrationen mitbestimmt. Wer sein Integrationsinventar konsequent prüft, Berechtigungen reduziert, Token-Lebenszyklen automatisiert und Teams für Targeted Phishing sensibilisiert, senkt das Schadenspotenzial erheblich. Jetzt handeln: Integrationen überprüfen, Token rotieren, Überwachung schärfen – und so die Angriffsfläche nachhaltig verkleinern.
