5 вересня Salesloft оголосила про тимчасове відключення платформи Drift на тлі масштабної атаки на ланцюг постачання, унаслідок якої з інтеграцій було викрадено OAuth‑ та refresh‑токени клієнтів. Компанія пояснює крок необхідністю провести повноцінний форензик‑аналіз і посилити безпеку перед відновленням сервісів.
Що сталося: компрометація інтеграцій Drift і чому це критично
Інцидент зачепив Salesloft Drift — платформу, що інтегрує чат‑бота Drift на базі ШІ з CRM та іншими SaaS‑системами. Спершу під підозрою була зв’язка з Salesforce, однак подальший аналіз показав, що вразливими виявилися будь‑які платформи, інтегровані з Drift, включно з Google Workspace та низкою інших сервісів.
Масштаб і часові рамки атаки
За даними Google, активна фаза тривала з 8 по 18 серпня 2025 року і мала масовий характер. Попередні оцінки свідчать, що наслідки компрометації могли торкнутися понад 700 організацій. Серед тих, хто вже підтвердив вплив, — Zscaler, Proofpoint, Palo Alto Networks, Workiva, PagerDuty, Exclaimer та Cloudflare.
Техніка зловмисників: як працює викрадення OAuth‑ та refresh‑токенів
OAuth‑токени надають додаткам доступ до даних без зберігання паролів, а refresh‑токени дозволяють подовжувати цей доступ. Їхня компрометація відкриває шлях до імітації довірених застосунків, читання та зміни записів у CRM і поштових системах, а також до тривалого закріплення в інфраструктурі без спрацювання традиційних механізмів багатофакторної аутентифікації. Подібні сценарії вже фіксувалися раніше: наприклад, інциденти з викраденням OAuth‑токенів Heroku/Travis CI (2022) та порушення безпеки CircleCI (2023) призводили до каскадних ризиків у ланцюгах постачання.
Атрибуція та перебіг розслідування
Google пов’язує атаку з кластером загроз UNC6395 (у класифікації Cloudflare — GRUB1). Точний метод початкового проникнення до Salesloft Drift поки що не встановлено. До реагування долучені фахівці з кібербезпеки Mandiant та Coalition, а компанія продовжує технічний аналіз і зміцнення контролів доступу.
Вплив на клієнтів: статус сервісів і перерви в роботі
Salesloft заявляє, що відключення — найшвидший шлях до всебічної переоцінки безпеки застосунку та суміжної інфраструктури. На період розслідування чат‑бот Drift на сайтах клієнтів недоступний, призупинено також функції Drift Fastlane і Drift Email. Строки повного відновлення поки що не оголошені.
Системний ризик SaaS‑до‑SaaS: lateral movement через OAuth
Інцидент підсвічує вразливість моделі SaaS‑to‑SaaS, коли широка матриця інтеграцій та розширені OAuth‑дозволи створюють канали для lateral movement. За відсутності жорсткої сегментації прав і прозорості залежностей організації можуть довго не помічати несанкціонований доступ, поки аномалії не проявляться в журналах або даних.
Практичні кроки безпеки для організацій
Негайні дії з обмеження наслідків
1) Ротація доступів: відкликати всі OAuth‑гранти, пов’язані з Drift; перевипустити refresh‑токени та API‑ключі у Salesforce, Google Workspace та інших інтеграціях; увімкнути re‑consent для повторного погодження доступів.
2) Посилення аутентифікації: застосувати умовний доступ, мінімізувати scope, дотримуватися принципу найменших привілеїв і обмежити строк життя токенів (TTL).
3) Аудит журналів: перевірити логи OAuth та доступів до даних за період 8–18 серпня 2025 і далі; шукати входи з нетипових географій/ASN, зміни поштових правил, масові операції у CRM.
Моніторинг і керування ризиками постачальників
4) Моніторинг аномалій: налаштувати оповіщення про видачу нових токенів, нетипові API‑патерни та ескалації прав; використовувати SIEM/UEBA і можливості CASB для контролю SaaS‑трафіку.
5) Оцінка третіх сторін: переглянути профілі ризиків постачальників, вимагати прозорість ланцюга постачання та план реагування на інциденти; інвентаризувати інтеграції й регулярно тестувати процедури відкликання токенів.
Подія з Salesloft Drift — ще одне нагадування, що керування OAuth‑доступами і дисципліна інтеграцій — критичні для сучасної екосистеми SaaS. Рекомендуємо не зволікати: проведіть ротацію токенів, посильте контроль дозволів, автоматизуйте виявлення аномалій і перегляньте ризики постачальників. Це зменшить площу атаки сьогодні та підвищить стійкість до наступних інцидентів у ланцюгах постачання.
