На прошлой неделе стало известно, что хакеры скомпрометировали платформу автоматизации продаж Salesloft и похитили OAuth и refresh-токены клиентов из ее ИИ-агента Drift, предназначенного для интеграции с Salesforce. Как теперь предупредили в Google, атака была массовой и затронула данные Google Workspace.
SalesDrift представляет собой стороннюю платформу для интеграции ИИ-чат-бота Drift с инстансом Salesforce, позволяя организациям синхронизировать разговоры, лиды и обращения в поддержку со своей CRM. Для оптимизации процесса Drift также может интегрироваться с различными сервисами, включая Salesforce (не имеет отношения к Salesloft) и другие платформы (Slack, Google Workspace и другие).
Как сообщили представители Salesloft, атака имела место с 8 по 18 августа 2025 года. В результате взлома злоумышленники получили клиентские OAuth и refresh-токены Drift, используемые для интеграции с Salesforce, а затем использовали их для кражи данных из Salesforce.
«Первичное расследование показало, что основной целью атакующего была кража учетных данных, в частности, они фокусировались на чувствительной информации вроде ключей доступа AWS, паролей и токенов доступа, связанных со Snowflake, — гласило исходное официальное заявление Salesloft. — Мы установили, что этот инцидент не коснулся клиентов, которые не используют нашу интеграцию Drift-Salesforce. Согласно результатам нашего продолжающегося расследования, не обнаружено свидетельств продолжающейся вредоносной активности, связанной с этим инцидентом».
Совместно с коллегами из Salesforce разработчики Salesloft отозвали все активные access- и refresh-токены для Drift. Кроме того, Salesforce удалила приложение Drift из AppExchange вплоть до завершения расследования и получения от Salesloft гарантий, что платформа безопасна.
Как сообщили на прошлой неделе специалисты Google Threat Intelligence (Mandiant), за атакой стояла хак-группа UNC6395. По словам исследователей, получив доступ к инстансу Salesforce, хакеры выполняли SOQL-запросы для извлечения токенов аутентификации, паролей и секретов из обращений в службу поддержки, что в итоге позволяло злоумышленникам продолжать атаку и взламывать другие платформы.
«GTIG обнаружила, что UNC6395 нацелена на чувствительные учетные данные, включая ключи доступа (AKIA) для Amazon Web Services (AWS), пароли и токены доступа, связанные со Snowflake, — писали в Google. — UNC6395 демонстрирует хорошее понимание операционной безопасности, удаляя задания запросов, однако логи не пострадали, и организациям следует проверить соответствующие журналы на предмет индикаторов утечек данных».
К своему отчету эксперты приложили индикаторы компрометации, а также отмечали, что для сокрытия инфраструктуры атакующие использовали Tor, а также хостинг-провайдеров вроде AWS и DigitalOcean. Строки User-Agent, связанные с кражей данных, содержали python-requests/2.32.4, Python/3.11 aiohttp/3.12.15, а для кастомных инструментов — Salesforce-Multi-Org-Fetcher/1.0 и Salesforce-CLI/1.0.
В Google рекомендовали компаниям, использующим Drift, интегрированный с Salesforce, считать свои данные Salesforce скомпрометированными. Пострадавшим настоятельно советовали немедленно принять меры по устранению последствий инцидента.
Хуже того, спустя несколько дней стало известно, что утечка данных оказалась гораздо масштабнее, чем предполагалось изначально.
Эксперты Google предупредили, что злоумышленники использовали украденные токены OAuth для доступа к учетным записям электронной почты Google Workspace, а также похитили данные из инстансов Salesforce.
Дело в том, что токены OAuth для интеграции Drift Email были скомпрометированы, и 9 августа атакующе использовали их для доступа к электронной почте «небольшого числа» учетных записей Google Workspace, напрямую интегрированных с Drift.
«Согласно новой информации, данная проблема не ограничивалась интеграцией Salesforce с Salesloft Drift и влияла на другие интеграции, — объяснили исследователи. — Теперь мы рекомендуем всем клиентам Salesloft Drift рассматривать любые токены аутентификации, хранящиеся на платформе Drift или подключенные к ней, как потенциально скомпрометированные».
Представители Salesloft также обновил свой бюллетень безопасности и заявили, что Salesforce отключила интеграцию Drift с Salesforce, Slack и Pardot до завершения расследования.
Хотя специалисты Google возлагают ответственность за эти атаки на хак-группу под идентификатором UNC6395, представители группировки ShinyHunters заявили изданию Bleeping Computer, что это они стоят за атакой. Однако позже хакеры сообщили, что описанный Google инцидент с ними не связан, так как они не извлекали данные из запросов в службу поддержки.
За последние месяцы от практически аналогичных утечек данных, связанных с Salesforce и активностью ShinyHunters, пострадали: Adidas, авиакомпания Qantas, страховая компания Allianz Life, ряд брендов LVMH (Louis Vuitton, Dior и Tiffany & Co), сайт Cisco.com, а также модный дом Chanel и датская ювелирная компания Pandora.
Также в ShinyHunters говорят, что работают совместно с группировкой Scattered Spider, которая отвечает за получение первоначального доступа к целевым системам. Теперь атакующие называют себя Sp1d3rHunters, объединив названия обеих группировок.
