【安全圈】Salesloft Drift 数据泄露追踪：源自 GitHub 入侵与 OAuth 令牌被盗

摘要：这起事件最早在 8 月 28 日引入谷歌旗下的安全公司 Mandiant 进行调查，任务范围包括查明根本原因、评估影响范围，并验证 Salesloft 核心环境是否仍然安全。

数据泄露

近日，围绕 Salesloft 旗下 Drift 应用的安全事件有了最新进展。公司在最新声明中确认，此次攻击事件已经得到控制，客户保护措施也已到位。

这起事件最早在 8 月 28 日引入谷歌旗下的安全公司 Mandiant 进行调查，任务范围包括查明根本原因、评估影响范围，并验证 Salesloft 核心环境是否仍然安全。

调查结果显示，攻击者早在 2025 年 3 月至 6 月间就已经潜入了一个 Salesloft 的 GitHub 账户。在这一阶段，他们下载了多个私有仓库的内容、添加了一个访客用户，并创建了新的自动化工作流。除此之外，还发现攻击者在 Salesloft 与 Drift 的系统中进行过侦察行为，不过在 Salesloft 环境中，并未发现他们越过初步探查的迹象。

随着行动推进，攻击者将主要目标转向了 Drift 的 AWS 环境，并在那里窃取了来自客户的 OAuth 令牌。依靠这些令牌，他们得以访问客户的 Salesforce 数据集成。

面对入侵，Salesloft 迅速采取了一系列措施：首先对 Drift 内部的所有相关凭证进行轮换，同时出于谨慎也更新了自身环境的凭证；随后隔离 Drift 的应用和基础设施，将服务下线进行整改；再加固防御体系，以应对攻击中观察到的技术手法；最后在整个基础设施中开展主动威胁狩猎，结果并未发现进一步入侵迹象。Mandiant 还特别确认，Drift 与 Salesloft 的平台在技术上是隔离的，这一架构设计在很大程度上限制了攻击者的活动范围。

不过，这次攻击的影响已远不止 Drift 一家。谷歌威胁情报团队与 Mandiant 指出，今年 8 月的一系列攻击，实际上是一次针对 Salesforce 集成的大规模协调行动。包括 Zscaler、Palo Alto Networks、PagerDuty、Cloudflare、TransUnion、Google、Farmers Insurance 等多家知名企业，都在不同程度上遭遇了 Salesforce 环境的数据泄露，泄露内容多为业务联系信息，如姓名、邮箱、职位和电话等。

关于攻击者身份，目前尚未有最终定论。谷歌将行动与威胁组织UNC6395联系起来，而另一个名为“Scattered Lapsus$ Hunters”的组织——结合了 Scattered Spider、Lapsu$ 和 ShinyHunters 的特征——也在公开场合声称对此负责，但这一说法尚未得到调查机构确认。

目前，随着 Drift 泄露事件被全面控制，Mandiant 的角色转向“取证质量保证”，以验证调查结果并进一步确认两个环境的完整性。Salesloft 方面则强调，虽然 Drift 是直接受害者，但其核心应用环境除有限的侦察行为外，并未遭到更深入的破坏。