Масштабная атака на цепочку поставок, связанная с интеграционной платформой Salesloft Drift, привела к компрометации OAuth и refresh-токенов и последующему несанкционированному доступу к данным Salesforce у ряда крупных компаний. Подтвержденные пострадавшие включают Zscaler, Palo Alto Networks, Cloudflare, а также Workiva, PagerDuty, Exclaimer и другие. По оценке Google, инцидент носил массовый характер и затронул в том числе данные Google Workspace.
Что произошло: компрометация OAuth через стороннюю интеграцию
Salesloft Drift — сторонняя платформа, соединяющая ИИ-чат-бот Drift с инстансами Salesforce и другими сервисами (включая Slack и Google Workspace) для синхронизации диалогов, лидов и обращений в поддержку. С 8 по 18 августа 2025 года злоумышленники получили доступ к клиентским токенам Drift, используемым для интеграции с Salesforce, и использовали их для извлечения данных из CRM. Аналитики Google рекомендовали всем организациям, где Drift интегрирован с Salesforce, считать данные скомпрометированными.
Кого затронуло: подтвержденные инциденты и масштабы
Zscaler: ограниченный доступ к данным CRM и предупреждение о фишинге
В Zscaler сообщили, что в рамках атаки на цепочку поставок неавторизованные лица получили учетные данные Drift и смогли получить ограниченный доступ к отдельным данным Salesforce. Компания подчеркивает, что продукты, услуги и инфраструктура не затронуты, случаев неправомерного использования обнаруженной информации не выявлено. Клиентам рекомендовано усилить бдительность к фишингу и социальной инженерии.
Palo Alto Networks: внутренние записи продаж и данные поддержки
Palo Alto Networks подтвердила, что стала одной из сотен жертв кампании, нацеленной на Salesloft Drift. Инцидент был локализован, приложение отключено в среде Salesforce. Компрометация коснулась CRM: похищены контактные данные, связанные учетные сведения и внутренние записи продаж. Данные по тикетам поддержки, по словам компании, ограничиваются контактами и текстовыми комментариями без файлов и вложений.
Cloudflare: 104 API-токена и содержимое обращений в поддержку
Cloudflare сообщила о доступе злоумышленников к инстансу Salesforce, использовавшемуся для управления обращениями клиентов. Выявлено 104 похищенных токена Cloudflare API, все были оперативно аннулированы; подозрительная активность с их использованием не зафиксирована. Компания предупредила, что часть обращений могла содержать конфиденциальные данные (включая токены доступа), поэтому любые учетные данные, переданные через систему поддержки, следует считать скомпрометированными и немедленно сменить.
Другие пострадавшие и атрибуция
О компрометации Salesforce также сообщили Workiva, PagerDuty, Exclaimer, Tanium, SpyCloud, Astrix Security и Cloudinary. При этом специалисты Google связывают атаку с группой под идентификатором UNC6395, тогда как группировка ShinyHunters в комментарии BleepingComputer заявила, что именно она стоит за кампанией. Ранее сходные утечки, связанные с активностью ShinyHunters и экосистемой Salesforce, затрагивали Adidas, Qantas, Allianz Life, бренды LVMH (Louis Vuitton, Dior, Tiffany & Co), сайт Cisco.com, Chanel и Pandora.
Экспертный разбор: почему атака опасна для экосистемы SaaS
Компрометация OAuth и refresh-токенов опасна тем, что обходит пароли и MFA, предоставляя длительный доступ к API и данным. CRM-системы вроде Salesforce содержат богатые контактные профили, историю взаимодействий и конфигурационные артефакты, что увеличивает риск целевых фишинговых атак, компрометации деловой переписки (BEC) и последующих вторжений в смежные SaaS-сервисы. Инцидент иллюстрирует уязвимость цепочки поставок: риск исходит не от ядра корпоративной инфраструктуры, а от доверенных сторонних интеграций с избыточными правами и широкими областями действия (scope).
Практические меры снижения рисков для Salesforce и SaaS
- Немедленно отозвать и перевыпустить OAuth/refresh-токены, связанные с Drift и другими сторонними приложениями; при необходимости временно отключить интеграции.
- Провести ревизию выданных разрешений (scopes) и принципа наименьших привилегий для всех Connected Apps в Salesforce и смежных платформах.
- Проверить логи Salesforce (Event Monitoring, API Audit Trail) на аномалии за период с 8 по 18 августа 2025 года и позже.
- Сегментировать доступ к CRM по IP, включить MFA и ограничения сессий; использовать токены короткого действия и Just-in-Time-подход.
- Очистить тикеты поддержки от секретов; настроить DLP и автоматическое удаление токенов/паролей из вложений и логов.
- Провести ротацию любых учетных данных, которыми делились через поддержку; уведомить клиентов и партнеров о профилактических мерах.
- Внедрить SSPM/CASB для непрерывного контроля конфигураций SaaS и обнаружения рискованных интеграций.
Инцидент с Salesloft Drift подчеркивает: надежность экосистемы SaaS определяется самыми слабыми звеньями интеграций. Организациям стоит системно пересмотреть доверенные приложения, сократить права, автоматизировать контроль токенов и обучить сотрудников распознаванию целевого фишинга. Регулярные аудиты и проактивная ротация секретов позволяют существенно снизить ущерб от подобных атак и повысить устойчивость к будущим кампаниям.
