Salesloft OAuth 通过 Drift AI 聊天代理泄露 Salesforce 客户数据

一场广泛的数据盗窃活动使黑客能够破坏销售自动化平台 Salesloft，窃取 OAuth 并刷新与 Drift 人工智能 （AI） 聊天代理相关的令牌。

该活动被评估为机会主义性质，归因于 Google 威胁情报组织 （GTIG） 和 Mandiant 跟踪的威胁行为者，跟踪为 UNC6395。GTIG 告诉 The Hacker News，它知道有 700 多个可能受到影响的组织。

研究人员 Austin Larsen、Matt Lin、Tyler McLellan 和 Omar ElAhdan 表示：“早在 2025 年 8 月 8 日开始，至少到 2025 年 8 月 18 日，该行为者通过与 Salesloft Drift 第三方应用程序关联的受损 OAuth 令牌来瞄准 Salesforce 客户实例。

在这些攻击中，据观察，威胁行为者从众多企业 Salesforce 实例导出大量数据，其可能目的是收集可用于破坏受害者环境的凭据。其中包括 Amazon Web Services （AWS） 访问密钥 （AKIA）、密码和与 Snowflake 相关的访问令牌。

UNC6395还通过删除查询作业来展示运营安全意识，尽管谷歌敦促组织审查相关日志以查找数据泄露的证据，同时撤销 API 密钥、轮换凭据并进行进一步调查以确定泄露程度。

Salesloft 在 2025 年 8 月 20 日发布的公告中表示，它在 Drift 应用程序中发现了安全问题，并已主动撤销 Drift 和 Salesforce 之间的连接。该事件不会影响未与 Salesforce 集成的客户。

“威胁行为者使用 OAuth 凭据从我们客户的 Salesforce 实例中窃取数据，”Salesloft 说。“威胁行为者执行查询以检索与各种 Salesforce 对象相关的信息，包括案例、客户、用户和机会。”

该公司还建议管理员重新验证其 Salesforce 连接以重新启用集成。该活动的确切规模尚不清楚。不过，Salesloft 表示已通知所有受影响的各方。

Salesforce 在周二的一份声明中表示，“少数客户”受到了影响，并表示该问题源于“应用程序连接的妥协”。

“检测到该活动后，Salesloft 与 Salesforce 合作，使活动访问和刷新令牌失效，并从 AppExchange 中删除了 Drift。然后我们通知了受影响的客户，“Salesforce 补充道。

这一发展正值 Salesforce 实例已成为 UNC6040 和 UNC6240（又名 ShinyHunters）等出于经济动机的威胁组织的活跃目标，后者此后与 Scattered Spider（又名 UNC3944）联手确保初始访问。

GTIG 首席威胁分析师 Austin Larsen 表示，UNC6395是一个新兴的集群，并补充说“我们目前没有观察到任何令人信服的证据将它们与其他组织联系起来。

“UNC6395攻击最值得注意的是规模和纪律，”AppOmni 的首席安全官 Cory Michal 说。“这不是一次性的妥协;使用窃取的 OAuth 令牌成为特定感兴趣组织的数百个 Salesforce 租户的目标，攻击者有条不紊地在许多环境中查询和导出数据。

“他们表现出了高水平的运营纪律，运行结构化查询，专门搜索凭据，甚至试图通过删除作业来掩盖他们的踪迹。规模、重点和贸易技巧的结合使这次活动脱颖而出。

Michal 还指出，许多目标和受感染的组织本身就是安全和技术公司，这表明该活动可能是作为更广泛供应链攻击策略的一部分的“开场白”。

“通过首先渗透供应商和服务提供商，攻击者将自己置于转向下游客户和合作伙伴的位置，”Michal 补充道。“这使得这不仅仅是一个孤立的 SaaS 妥协，而且可能成为一场旨在利用整个技术供应链中存在的信任关系的更大规模活动的基础。”

更新#

Sale Loft 在后续警报中表示，它已聘请 Mandiant 和 Coalition 的服务来调查违规行为并促进遏制和补救工作。它还敦促 Drift 客户为每个连接的 Drift 集成更新他们的 API 密钥。

“我们建议所有通过 API 密钥管理自己的与第三方应用程序的 Drift 连接的 Drift 客户主动撤销现有密钥，并使用新的 API 密钥为这些应用程序重新连接，”它说。“这仅与基于 API 密钥的 Drift 集成有关。OAuth 申请由 Salesloft 直接处理。

（该故事在发布后进行了更新，包括 GTIG/Mandiant 和 Salesloft 最新咨询的回应。