Workday 已确认,在涉及第三方应用程序的安全事件泄露客户信息后,它遭受了数据泄露。
该漏洞源自 Salesloft 的 Drift 应用程序,该应用程序连接到 Salesforce 环境。
2025 年 8 月 23 日,Workday 意识到了这个问题,并立即断开了该应用程序的连接,使其访问令牌失效,并在外部取证公司的支持下启动了调查。该事件凸显了与企业环境中第三方集成相关的持续风险。
违规的根本原因是 Salesloft 系统内部的泄露。2025 年 8 月 26 日,Salesloft 确认威胁行为者破坏了其基础设施,获取了 OAuth 凭据,并使用它们在其客户的 Salesforce 环境中执行搜索。
Workday 自己的调查证实,其 Salesforce 实例受到这种未经授权的访问的影响。
作为回应,Workday 立即开始评估其所有使用 Drift 应用程序的供应商,以评估事件的全部范围并防止进一步的未经授权的活动。该公司强调,其核心客户租户不会通过该载体直接访问或受到损害。
数据暴露
根据第三方取证公司核实的 Workday 调查,威胁行为者的访问权限仅限于存储在其 Salesforce 环境中的极小信息子集。
公开的数据包括业务联系信息、基本支持案例详细信息、租户相关属性(例如租户和数据中心名称)、产品和服务名称、培训课程记录和事件日志。
至关重要的是,威胁行为者无法访问敏感的外部文件,例如合同、订单或客户可能包含在支持案例中的任何附件。
Workday 正在主动搜索所有支持案例,以查找可能无意中共享的任何凭据,并将直接通知受影响的客户。
出于谨慎考虑,Workday 强烈敦促所有客户立即轮换可能通过支持案例与其支持团队共享的任何凭据。
该公司重申了其建议,即客户不应在支持票证中包含敏感信息,例如登录凭据。
除了这一主要建议外,Workday 还建议客户遵循安全最佳实践,包括强制使用多因素身份验证、定期对员工进行网络钓鱼意识培训以及积极监控用户活动是否有任何可疑行为的迹象。Salesloft 还发布了自己的安全建议供客户查看。
此次供应链攻击的确认受害者包括:
- Palo Alto Networks:这家网络安全公司证实了其 CRM 平台的业务联系信息和内部销售数据的泄露。
- Zscaler:云安全公司报告说,客户信息(包括姓名、联系方式和一些支持案例内容)被访问。
- 谷歌:除了作为调查员之外,谷歌还证实其“极少数”的 Workspace 帐户是通过受损的令牌访问的。
- Cloudflare:Cloudflare 已确认发生数据泄露事件,其中一名老练的威胁行为者访问并窃取了该公司的 Salesforce 实例中的客户数据。
- PagerDuty 已确认发生安全事件,该事件导致未经授权访问其存储在 Salesforce 中的某些数据。
- Tenable 已确认发生数据泄露事件,该泄露事件暴露了其部分客户的联系方式和支持案例信息。
- Qualys 已确认它受到针对 Salesloft Drift 营销平台的广泛供应链攻击的影响,导致未经授权访问其部分 Salesforce 数据。
- Dynatrace 已确认它受到源自 Salesloft Drift 应用程序的第三方数据泄露的影响,导致未经授权访问其 Salesforce CRM 中存储的客户业务联系信息。
- Elastic 披露了一起安全事件,该事件源于 Salesloft Drift 的第三方违规行为,该事件导致未经授权访问包含有效凭据的内部电子邮件帐户。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
