谷歌已确认,涉及 Salesloft Drift 平台的一起安全漏洞事件影响范围比最初报告的更为广泛,该平台相关的所有认证令牌都可能已遭泄露。
谷歌威胁情报团队(GTIG)的最新调查结果显示,这起此前被认为仅局限于 Salesforce 集成功能的事件,已影响到所有与 Drift 平台相连的第三方应用。
谷歌目前建议所有 Salesloft Drift 客户,将在 Drift 平台中存储或与其关联的所有认证令牌视为 “可能已泄露”,并立即采取补救措施。
2025 年 8 月 8 日至 8 月 18 日期间,代号为 UNC6395 的威胁 actor(注:指实施网络攻击的个人或组织)利用与 Salesloft Drift 第三方应用相关联的泄露 OAuth 令牌,从多个企业的 Salesforce 实例中系统性地导出了大量数据。
谷歌威胁情报团队评估认为,该威胁 actor 的主要目的是从窃取的数据中获取敏感凭据,包括亚马逊云服务(AWS)访问密钥、密码以及 Snowflake(注:一款云数据仓库服务)相关的访问令牌。
在首次发现该漏洞后,Salesloft 于 2025 年 8 月 20 日与 Salesforce 合作采取行动:撤销了 Drift 应用的所有活跃访问令牌和刷新令牌,并将其暂时从 Salesforce AppExchange(注:Salesforce 官方应用市场)中下架。
当时,两家公司均认为漏洞影响范围仅限于将 Drift 与 Salesforce 进行集成的客户。
然而,2025 年 8 月 28 日,调查出现关键转折 —— 经确认,该威胁 actor 还泄露了 “Drift Email”(Drift 邮件)集成功能的 OAuth 令牌。
有证据显示,2025 年 8 月 9 日,该威胁 actor 利用这些令牌访问了少量谷歌工作空间(Google Workspace)账户的邮件,这些账户是专门配置为与 Salesloft 进行集成的。谷歌已澄清,该威胁 actor 无法访问客户工作空间域内的其他任何账户。
“需要明确的是,谷歌工作空间(Google Workspace)或字母表公司(Alphabet,谷歌母公司)本身并未遭受数据泄露,” 一位谷歌发言人表示。
鉴于这些最新发现,谷歌已迅速采取行动保护客户:识别出受影响的用户、撤销授予 Drift 邮件应用的特定 OAuth 令牌,并在进一步调查完成前禁用了谷歌工作空间与 Salesloft Drift 之间的集成功能。所有受影响的谷歌工作空间管理员都已收到直接通知。
这起事件凸显了 “相互关联的第三方应用” 所带来的复杂安全挑战。尽管该漏洞并非源于谷歌或 Salesforce 核心平台的安全缺陷,但它表明,某一项服务的安全漏洞可能会在整个集成系统中产生连锁反应。
目前,Salesloft 已聘请网络安全公司 Mandiant 协助开展持续调查,并更新了其安全公告。
谷歌强烈建议使用 Salesloft Drift 的企业立即采取防御措施,具体建议包括:全面审查与自身 Drift 实例相连的所有第三方集成、撤销并轮换所有相关凭据,以及主动检查所有关联系统是否存在未授权访问或可疑活动的迹象。
红客联盟·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
