针对 Salesloft Drift 的供应链攻击袭击了网络安全公司 Zscaler

摘要：攻击者窃取了该公司的 OAuth 令牌，此次事件影响了包括 Zscaler 在内的多家 Salesforce 客户。攻击者未经授权访问了 Drift 凭证，导致 Zscaler 的部分 Salesforce 信息被有限访问。该公司指出，其产品、服务和核心基础设

Zscaler 披露了与近期Salesloft Drift 攻击相关的数据泄露事件。

这家网络安全供应商确认，其受到了针对 Salesloft Drift（一款与 Salesforce 集成的营销 SaaS 产品）的攻击活动的影响。

攻击者窃取了该公司的 OAuth 令牌，此次事件影响了包括 Zscaler 在内的多家 Salesforce 客户。攻击者未经授权访问了 Drift 凭证，导致 Zscaler 的部分 Salesforce 信息被有限访问。该公司指出，其产品、服务和核心基础设施并未受到损害。

事件中暴露的信息是客户常见业务联系方式和特定的 Salesforce 相关内容，包括：姓名、公司电子邮件地址、职位、电话号码、区域/位置详情、Zscaler 产品许可和商业信息、某些支持案例的内容。

Zscaler 确认已撤销 Drift 的 Salesforce 访问权限、轮换 API 令牌、与 Salesforce 展开联合调查、增加安全措施、审查第三方供应商并加强客户支持身份验证以降低网络钓鱼风险。

尽管影响有限且没有滥用证据，但该公司敦促客户对网络钓鱼攻击和社会工程攻击保持警惕。

上周，谷歌披露， Salesloft Drift OAuth 漏洞的影响范围远超 Salesforce，影响到所有相关业务集成系统。

GTIG 和 Mandiant 建议所有客户将已连接的令牌视为已泄露。攻击者于 2025 年 8 月 9 日通过 Drift Email 集成，使用窃取的 OAuth 令牌访问了部分 Google Workspace 电子邮件。谷歌强调，这并非 Workspace 本身的泄露，只有与 Salesloft 集成的帐户面临风险，其他客户帐户则无法访问。

谷歌威胁情报小组 (GTIG) 发布的更新指出：“根据 GTIG 发现的新信息，此次入侵事件的影响范围不仅限于 Salesforce 与 Salesloft Drift 的集成，还会影响其他集成。我们建议所有 Salesloft Drift 客户将存储在或连接到 Drift 平台的所有身份验证令牌视为可能受到攻击。”

2025年8月28日，谷歌调查确认，该攻击者还窃取了用于“Drift Email”集成的OAuth令牌。2025年8月9日，一名攻击者使用这些令牌访问了极少数Google Workspace帐户的电子邮件。唯一可能被访问的帐户是那些专门配置为与Salesloft集成的帐户；该攻击者无法访问客户Workspace域中的任何其他帐户。

谷歌已经通知受影响的用户并撤销了 Drift Email OAuth 令牌，禁用了其 Workspace 集成，并敦促 Salesloft Drift 用户审查集成、轮换凭据并检查是否存在黑客活动迹象。

上周，谷歌威胁情报小组和 Mandiant 研究人员宣布，他们调查了一起大规模数据盗窃活动，旨在入侵销售自动化平台 Salesloft，窃取与 Drift 人工智能 (AI) 聊天代理相关的 OAuth 和刷新令牌。

专家发现，威胁组织 UNC6395 通过 Salesloft Drift 窃取了 OAuth 令牌，在 2025 年 8 月 8 日至 18 日期间从 Salesforce 窃取数据，以获取 AWS 访问密钥 (AKIA) 和 Snowflake 令牌等凭证。

Google TIG 小组发布的报告指出： “最早从 2025 年 8 月 8 日开始，至少持续到 2025 年 8 月 18 日，攻击者通过与 Salesloft Drift 第三方应用程序关联的 OAuth 令牌，攻击了 Salesforce 客户实例。攻击者系统性地从众多企业 Salesforce 实例中导出了大量数据。”

UNC6395 窃取了 Salesforce 数据，促使 GTIG 建议将其视为已入侵数据并轮换凭证。该威胁组织删除了查询作业以逃避检测。Google 敦促采取日志审查、密钥撤销和凭证轮换措施，以评估入侵情况。

Salesloft 警告称，黑客利用 Drift 应用中的 OAuth 凭证窃取了 Salesforce 数据（案例、账户、用户、商机）。2025 年 8 月 20 日，Salesloft 撤销了所有 Drift 与 Salesforce 的连接，并强调非 Salesforce 用户不受影响。建议管理员重新验证 Salesforce 集成，受影响的客户已收到通知，但受影响的具体规模尚不清楚。

Salesloft 发布的Drift/Salesforce 安全更新指出：“2025 年 8 月 8 日至 8 月 18 日，一名攻击者利用 OAuth 凭证窃取了我们客户的 Salesforce 实例中的数据。所有受影响的客户都已收到通知。 ” 初步调查结果显示，该行为者的主要目标是窃取凭证，特别是 AWS 访问密钥、密码以及与 Snowflake 相关的访问令牌等敏感信息。我们已确定此事件不会影响未使用 Drift-Salesforce 集成的客户。”

Salesforce 表示，由于应用程序连接被入侵，只有少数客户受到影响。该公司与 Salesloft 合作，撤销了令牌，从 AppExchange 中移除了 Drift，并通知了受影响的用户。

技术报告：

来源：会杀毒的单反狗

标签： drift zscaler s salesloftdrift

本文地址：http://news.43b.com.cn/a/1000534.html

免责声明：本站系转载，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本站联系，我们将在第一时间删除内容!