网络安全公司 Zscaler 已确认其成为大规模供应链攻击的受害者,该攻击通过与营销平台Salesloft Drift相关的受损 Salesforce 凭证泄露了客户联系信息。
此次泄密事件于 2025 年 8 月 31 日披露,源于针对 Salesloft Drift 的 OAuth 令牌的更大规模攻击活动,该活动已影响到全球 700 多个组织。
Zscaler 强调,该事件仅限于其 Salesforce 环境,并未影响其任何核心安全产品、服务或底层基础设施。
该安全事件源于威胁行为者UNC6395策划的一次复杂的供应链攻击,谷歌威胁情报小组和 Mandiant 研究人员自 2025 年 8 月初以来一直在追踪该攻击。
2025 年 8 月 8 日至 18 日期间,攻击者系统地破坏了与 Salesloft Drift 相关的 OAuth 令牌,Salesloft Drift 是一个与 Salesforce 数据库集成的人工智能聊天代理,用于实现销售工作流程自动化。
UNC6395 展示了其先进的操作能力,利用这些被盗令牌直接在Salesforce 客户实例中进行身份验证,完全绕过了多因素身份验证。攻击者使用 Python 工具,在数百个目标组织中自动执行数据窃取流程。
Zscaler 信息泄露
根据 Zscaler 的官方声明,泄露的数据仅限于常见的商业联系方式和 Salesforce 特定内容,其中包括:
- 姓名和公司电子邮件地址
- 职位和电话号码
- 区域和位置详细信息
- Zscaler 产品许可和商业信息
- 来自某些支持案例的纯文本内容(不包括附件、文件和图像)
该公司表示: “经过广泛调查,Zscaler 目前没有发现任何证据表明这些信息被滥用。”然而,此次泄露事件凸显了现代 SaaS 环境中第三方集成的脆弱性。
Zscaler 事件只是安全研究人员所称的 2025 年最大规模 SaaS 攻击活动的一部分。谷歌威胁情报小组估计,超过 700 个组织受到了此次供应链攻击的影响。
最初,该攻击活动被认为仅针对 Salesforce 集成,但当谷歌于 8 月 28 日确认 Drift Email 的 OAuth 令牌也遭到泄露后,攻击范围显著扩大,攻击者得以访问 Google Workspace 帐户。大多数受害者是科技和软件公司,这可能导致连锁的供应链风险。
Zscaler 迅速采取行动,撤销了 Salesloft Drift 对其 Salesforce 数据的访问权限,并采取预防措施轮换了 API 访问令牌,从而控制了事件。该公司与 Salesforce 合作开展了全面调查,并实施了额外的保障措施,以防止类似事件再次发生。
2025年8月20日,Salesloft 和 Salesforce 联手撤销了与 Drift 应用程序相关的所有活动访问和刷新令牌。Salesforce 还将 Drift 应用程序从其 AppExchange 市场中移除,等待进一步调查。
此次事件凸显了SaaS 到 SaaS 集成中存在的严重漏洞,这些漏洞通常会绕过传统的安全控制措施。OAuth 令牌一旦被盗,即可提供持久访问权限,而无需触发身份验证警报或输入密码。
虽然尚未发现数据滥用的证据,但 Zscaler 仍敦促客户保持高度警惕,防范可能利用已暴露联系方式进行网络钓鱼攻击或社会工程攻击。该公司强调,Zscaler 官方支持团队绝不会通过未经请求的通信方式索取身份验证信息。
建议使用第三方 SaaS 集成的组织审查所有连接的应用程序,撤销过于宽泛的权限,并对异常查询活动或大规模数据导出实施持续监控。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
