Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Sicherheitsrisiko Salesloft-Datenleck

Salesloft-Datenleck

Von Mezo in Sicherheitsrisiko, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Ein groß angelegter Cyberangriff hat die Integration von Salesloft mit dem Drift AI-Chat-Agenten beeinträchtigt, wodurch Hacker OAuth- und Aktualisierungstoken stehlen konnten. Der Angreifer mit der Identifikationsnummer UNC6395 nutzte diese gestohlenen Token, um in Salesforce-Kundenumgebungen einzudringen. Sicherheitsexperten haben über 700 potenziell betroffene Organisationen identifiziert.

Zeitleiste des Verstoßes

Untersuchungen zeigen, dass sich die bösartigen Aktivitäten vom 8. bis 18. August 2025 erstreckten. In diesem Zeitraum nutzten die Angreifer kompromittierte OAuth-Token, die mit Drift verknüpft waren, um Salesforce-Instanzen zu infiltrieren. Nach dem Eindringen exportierten sie riesige Mengen an Unternehmensdaten mit dem Ziel, sensible Anmeldeinformationen zu sammeln, wie beispielsweise:

  • Amazon Web Services (AWS)-Zugriffsschlüssel
  • Passwörter
  • Snowflake-bezogene Token

Angriffsmethoden und Taktik

Was diese Kampagne auszeichnet, ist die methodische Präzision von UNC6395. Es handelte sich nicht um einen einmaligen Angriff, sondern um strukturierte und wiederholte Angriffe auf Hunderte von Salesforce-Mietern. Wichtige Beobachtungen:

Disziplinierte Ausführung – Abfragen wurden systematisch ausgeführt, um Anmeldeinformationen zu identifizieren und zu extrahieren.

Operatives Bewusstsein – Die Angreifer löschten Abfragejobs, um Spuren ihrer Aktivitäten zu verwischen.

Zielauswahl – Bei vielen der betroffenen Organisationen handelte es sich um Technologie- und Sicherheitsanbieter, was darauf schließen lässt, dass es sich um einen Versuch zur Infiltration der Lieferkette handeln könnte.

Durch die Kompromittierung von Lieferanten und Dienstanbietern konnte die Gruppe ihre Angriffe auf die Ökosysteme von Kunden und Partnern ausweiten.

Antwort von Salesloft und Salesforce

Salesloft gab am 20. August 2025 eine Warnung heraus, in der es den Datenleck einräumte und bestätigte, dass alle Drift-Salesforce-Verbindungen aufgehoben worden seien. Salesforce gab daraufhin eine eigene Erklärung ab und stellte fest, dass nur eine „kleine Anzahl von Kunden“ direkt betroffen sei. Beide Unternehmen haben nach dem Vorfall umgehend Maßnahmen ergriffen:

  • Ungültige aktive Zugriffs- und Aktualisierungstoken
  • Drift aus AppExchange entfernt
  • Zusammenarbeit bei der Eindämmung des Angriffs und der Bewertung der Auswirkungen

Salesloft betonte, dass der Vorfall keine Auswirkungen auf Organisationen ohne Salesforce-Integrationen habe.

Größere Bedrohungslandschaft

Salesforce-Umgebungen werden zunehmend zu lukrativen Zielen für finanziell motivierte Gruppen. Andere Cluster, wie UNC6040 und UNC6240 (ShinyHunters), sind dafür bekannt, SaaS-Umgebungen auszunutzen. UNC6240 arbeitet sogar mit Scattered Spider (UNC3944) für Erstzugriffskampagnen zusammen.

Derzeit gibt es keine Hinweise darauf, dass UNC6395 mit diesen Gruppen in Verbindung gebracht wird. Es handelt sich also um einen neuen und eigenständigen Bedrohungscluster. Umfang, Fokus und Raffinesse seiner Kampagne ordnen ihn jedoch in dieselbe Liga der Hochrisikogegner ein.

Schadensbegrenzung und nächste Schritte

Salesloft hat externe Sicherheitsanbieter beauftragt, die Untersuchungen und Behebungsmaßnahmen zu unterstützen. Das Unternehmen fordert Administratoren dringend auf, Salesforce-Verbindungen erneut zu authentifizieren, um Integrationen wiederherzustellen und zusätzliche Sicherheitsvorkehrungen zu treffen.

Zu den wichtigsten Empfehlungen gehören:

  • Widerrufen und Rotieren vorhandener API-Schlüssel
  • Drift-Integrationen mit neuen Schlüsseln erneut verbinden
  • Überprüfen der Protokolle auf verdächtige Abfragen und potenzielle Datenfreigabe
  • Durchführung tiefergehender Untersuchungen zur Ermittlung der Auswirkungen

Für Organisationen, die Drift-Verbindungen über API-Schlüssel verwalten, wird eine proaktive Schlüsselrotation dringend empfohlen. OAuth-Integrationen werden jedoch bereits direkt von Salesloft adressiert.

Letzter Takeaway

Diese Kampagne verdeutlicht die wachsenden Risiken der Integration von Drittanbietern in SaaS-Ökosysteme. Durch den Missbrauch gestohlener OAuth-Token demonstrierte UNC6395 die Fähigkeit, gezielte, heimliche und lieferkettenorientierte Operationen durchzuführen. Das Ereignis erinnert daran, dass Cloud-basierte Plattformen zwar leistungsstark sind, aber weiterhin ein Hauptziel für Bedrohungsakteure darstellen, die Vertrauensbeziehungen entlang der digitalen Lieferkette ausnutzen wollen.

Im Trend

Am häufigsten gesehen

Wird geladen...