Salesloft объявила о временном отключении платформы Drift 5 сентября на фоне масштабной атаки на цепочку поставок, в ходе которой злоумышленники похитили OAuth‑ и refresh‑токены клиентов. Решение призвано обеспечить полноценный форензик‑анализ и укрепление защиты перед восстановлением сервиса.
Что произошло и почему это важно
По данным компании, инцидент затронул Salesloft Drift — платформу интеграции чат-бота Drift на базе ИИ с CRM и другими сервисами. Изначально речь шла о компрометации связки с Salesforce, однако позже выяснилось, что уязвимыми оказались любые платформы, интегрированные с Drift, включая Google Workspace и ряд других SaaS‑сервисов.
Хронология и масштаб воздействия
Как сообщили представители Google, атака продолжалась с 8 по 18 августа 2025 года и носила массовый характер. По оценкам исследователей, последствия компрометации Salesloft Drift могли затронуть более 700 организаций. Среди уже подтвердивших влияние — Zscaler, Proofpoint, Palo Alto Networks, Workiva, PagerDuty, Exclaimer и Cloudflare.
Техника атаки: почему кража OAuth‑токенов опасна
Ключевой вектор — кража OAuth‑ и refresh‑токенов из интеграций Drift. OAuth‑токены позволяют приложениям получать доступ к данным без передачи паролей, а refresh‑токены продлевают этот доступ. Их компрометация дает злоумышленникам возможность имперсонировать приложения, обращаться к корпоративным данным, создавать или изменять записи в CRM и почтовых системах, а также закрепляться в инфраструктуре без триггеров классической аутентификации.
Атрибуция и текущий статус расследования
Google атрибутирует атаку кластеру угроз UNC6395 (известному как GRUB1 по классификации Cloudflare). Точный способ первоначального проникновения в Salesloft Drift пока не установлен. В рамках реагирования на инцидент Salesloft сотрудничает с экспертами по кибербезопасности из Mandiant и Coalition.
Действия Salesloft и влияние на клиентов
Компания заявила, что отключение Drift — самый быстрый путь к всесторонней переоценке безопасности приложения и связанной инфраструктуры. На время расследования чат-бот Drift на сайтах клиентов будет недоступен, а также приостановлены функции Drift Fastlane и Drift Email. Сроки полного восстановления сервиса пока не называются.
Риски для цепочки поставок SaaS
Инцидент демонстрирует системный риск модели SaaS‑к‑SaaS, где доверенные интеграции и широкие OAuth‑разрешения становятся каналом lateral movement. При недостаточной сегментации прав и непрозрачных цепочках зависимостей организации могут не заметить несанкционированный доступ до появления аномалий в журналах или изменениях в данных.
Что делать организациям: практические рекомендации
1) Немедленная ротация токенов и ключей: отозвать все OAuth‑гранты, связанные с Drift; перевыпустить refresh‑токены и API‑ключи в Salesforce, Google Workspace и других интеграциях. Включить обязательное повторное согласие (re‑consent).
2) Укрепление аутентификации: усилить политику условного доступа, минимизировать область действия токенов (scope), применять принцип наименьших привилегий и ограничивать срок жизни токенов (TTL).
3) Ускоренный аудит журналов: проверить логи OAuth и доступов к данным за период с 8 по 18 августа 2025 и далее; искать входы из нетипичных ASN/географий, создание/изменение правил почты, массовые операции в CRM.
4) Мониторинг и автоматизация: внедрить оповещения по выдаче новых токенов, аномалиям API‑запросов и эскалациям прав; использовать SIEM/UEBA и возможности CASB для обнаружения аномалий в SaaS‑трафике.
5) Управление поставщиками: пересмотреть оценку рисков третьих сторон, требовать прозрачности цепочки поставок и плана реагирования на инциденты; документировать все интеграции и регулярно проводить тесты отзыва токенов.
Атака на Salesloft Drift подчеркивает уязвимость доверенных интеграций и важность управления OAuth‑доступами в экосистеме SaaS. Организациям следует оперативно провести отзыв токенов, усилить контроль разрешений
