Масштабна атака на ланцюг постачання через інтеграційну платформу Salesloft Drift призвела до компрометації OAuth і refresh-токенів та відкрила зловмисникам шлях до даних Salesforce у низці великих компаній. Серед підтверджених постраждалих — Zscaler, Palo Alto Networks, Cloudflare, а також Workiva, PagerDuty, Exclaimer та інші. За оцінкою Google, інцидент мав масовий характер і торкнувся, зокрема, даних Google Workspace.
Що сталося: компрометація OAuth через сторонню інтеграцію
Salesloft Drift — це стороння інтеграція, що поєднує ІІ-чат-бот Drift із Salesforce і суміжними сервісами (зокрема Slack та Google Workspace) для синхронізації лідів, діалогів і звернень у підтримку. У період з 8 по 18 серпня 2025 року зловмисники отримали доступ до клієнтських токенів Drift, які використовуються для зв’язку з Salesforce, і використали їх для експортy CRM-даних. Аналітики Google рекомендували всім організаціям із інтеграцією Drift–Salesforce вважати дані скомпрометованими.
Кого торкнулося: підтверджені інциденти та масштаби
Zscaler: обмежений доступ до CRM і попередження про фішинг
Zscaler повідомила, що невідомі отримали облікові дані Drift і здобули обмежений доступ до окремих даних Salesforce. Продукти, сервіси та інфраструктура компанії не постраждали; випадків зловживання виявленою інформацією не зафіксовано. Клієнтам рекомендовано посилити пильність до цільового фішингу та соціальної інженерії.
Palo Alto Networks: внутрішні записи продажів і дані підтримки
Palo Alto Networks підтвердила, що стала однією з сотень жертв кампанії, націленої на Salesloft Drift. Інтеграцію в середовищі Salesforce вимкнено, інцидент локалізовано. Компрометація зачепила CRM: викрадено контактні дані, пов’язані відомості та внутрішні записи продажів. Дані за заявками підтримки, за словами компанії, обмежуються контактами і текстовими коментарями без файлів та вкладень.
Cloudflare: 104 API-токени і вміст звернень у підтримку
Cloudflare зафіксувала доступ до інстансу Salesforce, що обробляв клієнтські звернення. Виявлено 104 викрадені токени Cloudflare API; усі були оперативно відкликані, ознак зловживання не зафіксовано. Компанія попередила: будь-які облікові дані, передані через систему підтримки, слід вважати скомпрометованими та негайно змінити.
Інші постраждалі та атрибуція атаки
Про компрометацію Salesforce також заявили Workiva, PagerDuty, Exclaimer, Tanium, SpyCloud, Astrix Security та Cloudinary. Аналітики Google пов’язують атаку з групою UNC6395, тоді як угруповання ShinyHunters публічно заявляє про свою причетність. Раніше з ShinyHunters і екосистемою Salesforce пов’язувалися інциденти, що торкалися Adidas, Qantas, Allianz Life, брендів LVMH, Cisco.com, Chanel і Pandora.
Чому це небезпечно: ризики OAuth/refresh-токенів для SaaS
Компрометація OAuth і refresh-токенів особливо небезпечна, оскільки обходить паролі та MFA
