Când o simplă breșă de securitate într-un cont GitHub a declanșat o furtună digitală: incidentul care a afectat Salesloft și Drift a început în primăvară și a culminat în august cu sustrageri de date din instanțe Salesforce, vizând companii mari precum Google și Cloudflare.
Salesloft este platforma utilizată de multe echipe de vânzări pentru a administra comunicarea cu clienții, iar Drift e un instrument de marketing conversațional care rulează chatbots și automatizări, conectându-se cu servicii precum Salesforce. Ambele au devenit nucleul unui atac în lanț, de tip supply-chain, dezvăluit la sfârșitul lunii august și atribuit de Google Threat Intelligence Group unui grup denumit UNC6395. În cadrul investigației apar însă și alte nume: BleepingComputer a relatat că grupul de extorcare ShinyHunters și actori care se autointitulează Scattered Spider au participat la atacurile legate de Salesloft și Drift, alături de campaniile anterioare de extragere de date din Salesforce.
Primele compromiteri au apărut când atacatorii au compromis contul Salesloft de pe GitHub între martie și iunie 2025. Ancheta realizată cu sprijinul Mandiant indică faptul că hackerii au descărcat cod din mai multe repo-uri, au creat conturi guest și au introdus workflow-uri malițioase, pregătind terenul pentru fazele următoare. În aceeași perioadă au fost observate activități de recunoaștere în mediile Salesloft și Drift. Ulterior, după ce au pătruns în mediul AWS al Drift, au sustras token-uri OAuth care permit accesul la datele clienților prin integrări tehnologice, inclusiv cele cu Salesforce și Google Workspace.
După ce au obținut token-urile, atacatorii au vizat în mod special tichetele de suport din Salesforce ale clienților Salesloft. Din aceste înregistrări au extras credențiale, token-uri de autentificare și alte secrete, printre care chei AWS, parole și token-uri legate de Snowflake. Lista organizațiilor afectate se extinde și include entități importante: Google, Zscaler, Cloudflare, Workiva, Tenable, JFrog, Bugcrowd, Proofpoint, Palo Alto Networks și altele. Practic, informațiile din tichetele de suport au fost folosite pentru a obține accesuri care permit pătrunderi în alte sisteme, o exploatare tipică a lanțului de încredere între servicii.
Salesloft a semnalat inițial problema către Drift pe 21 august și a oferit mai multe detalii pe 26 august, explicând că actorii urmăreau în principal sustragerea de credențiale sensibile. Ca măsuri, compania a schimbat credențialele, a consolidat controalele de securitate și a verificat segmentarea mediilor față de Drift. Drift a izolat infrastructura și a schimbat propriile credențiale. Cu sprijinul Mandiant, Salesloft a efectuat operațiuni de threat hunting și nu a mai găsit indicatori de compromis care să sugereze că atacatorii ar fi menținut un punct de sprijin intern, Mandiant a validat containerea și segmentarea, iar acum eforturile s-au concentrat pe o revizuire de tip forensic quality assurance.
După suspendarea preventivă a integrării cu Salesforce, Salesloft a anunțat restabilirea conexiunii. Utilizatorii Salesforce pot folosi din nou integrarea completă, iar compania a furnizat pași detaliați pentru cei care trebuie să reinițieze sincronizarea datelor. Rămâne esențial pentru organizații să urmeze ghidurile tehnice furnizate și să își verifice instanțele pentru eventuale urme preexistente.
Cazul exemplifică riscul real al compromisului pe platforme de dezvoltare precum GitHub și impactul în lanț asupra integrărilor SaaS. Atacatorii nu au fost nevoiți să compromită fiecare client în parte, ci au exploatat încrederea dintre servicii și token-urile de acces: acces la cod, apoi la token-uri OAuth, apoi la date sensibile, un traseu eficient pentru cei care știu să îl urmărească. Pe scurt, gestionarea strictă a secretelor, rotirea periodică a cheilor, monitorizarea activităților neobișnuite în repo-uri și segmentarea clară a mediilor cloud rămân măsuri practice pentru a limita astfel de propagări.
Salesloft a confirmat numele unor companii afectate și a detaliat cronologia incidentului; ancheta Mandiant acoperă perioada martie–iunie 2025 pentru accesul inițial la GitHub și escaladarea ulterioară prin Drift. Urmează audituri și verificări tehnice amănunțite pentru a se asigura că astfel de intruziuni nu lasă urme ascunse. Cum ți-ar modifica politica de securitate faptul că token-urile OAuth compromise pot deschide porți către conturi mari precum Google sau Salesforce?
asta e clar o lectie dura… și nu e doar despre Salesloft/Drift, e despre cum orice token/OAuth devine cheia aia care deschide mai multe uși. eu zic sa nu te bazezi doar pe rotate de chei; pune MFA pe tot ce se poate, logging detaliat, si alerting care să te trezească la primele cereri neobișnuite. vezi să nu folosești scope-uri prea largi la token-uri, tiny-grants, principle of least privilege, cum zic aia mari.
ps: monitorare pe repo-uri git, secret scanning automat (da, și pe forks), iar accesul la repo sa fie auditat constant — multe breșe vin dintr-un cont compromis, nu dintr-un bug uriaș.
daaa, și validare de terți: threat-hunting periodic, tabletop exercises, backup isolation. if an attacker stole an OAuth, tratezi ca pe un breach: rotate, revoke, forensics, notificare.
altceva util: chei AWS în tichete = zero, niciodata, folosiți ephemeral creds (STS), session tokens, și roluri asumabile cu condiții. Snowflake? rotate role keys, turn on object-level access logs si alerting pe queries mari.
nu suna fancy, dar pragmatic: segregare env (prod nu talk cu dev direct), segmentation, least-privilege, token expiration scurt, si revizuire regulata a integrărilor externe. cine știe… poate azi scapă Google, mâine e altceva.
haha, iar token-uri lăsate de capul lor, tipic.