Компания Salesloft объявила, что 5 сентября временно отключит своего ИИ чат-бота Drift, после того как множество компаний пострадало от нацеленной на него масштабной атаки на цепочку поставок. Инцидент привел к массовой краже токенов аутентификации.
Напомним, что на прошлой неделе стало известно, что хакеры скомпрометировали платформу автоматизации продаж Salesloft и похитили OAuth- и refresh-токены клиентов из ее ИИ-агента Drift, предназначенного для интеграции с Salesforce (не имеет отношения к Salesloft).
Как позже сообщили представители Google, атака длилась с 8 по 18 августа 2025 года, была массовой и затронула, в том числе, данные Google Workspace.

Salesloft Drift представляет собой платформу для интеграции чат-бота Drift на базе ИИ с Salesforce, позволяя организациям синхронизировать разговоры, лиды и обращения в поддержку со своей CRM. Для оптимизации процесса Drift также может интегрироваться с различными сервисами, включая Salesforce и другие платформы (Slack, Pardot, Google Workspace и так далее).
Разработчики объясняют, что отключение Drift обеспечит наиболее быстрый путь для комплексного анализа приложения, а также поможет укрепить безопасность приложения и связанной с ним инфраструктуры, чтобы вернуть ему полную функциональность.
«Чат-бот Drift на сайтах клиентов будет недоступен, и все функции Drift, включая Drift Fastlane и Drift Email, в это время будут отключены», — говорят в компании, однако точных дат возвращения сервиса в строй пока не называют.
В компании подчеркивают, что в настоящее время главным приоритетом является обеспечение целостности и безопасности ее собственных систем и данных клиентов. В рамках реагирования на инцидент Salesloft сотрудничает с экспертами по кибербезопасности из Mandiant и Coalition.
Специалисты Google возлагают ответственность за эту атаку на кластер угроз под кодовым названием UNC6395 (GRUB1 в классификации Cloudflare). Исследователи полагают, что компрометация Salesloft Drift потенциально могла затронуть более 700 организаций.
Хотя исходно считалось, что утечка данных коснулась только интеграций Drift с Salesforce, позже выяснилось, что была уязвима любая платформа, интегрированная с Drift. Причем способ, которым злоумышленники получили первоначальный доступ к Salesloft Drift, по-прежнему неизвестен.
Множество крупных компаний уже сообщили, что эта атака на цепочку поставок затронула их системы. Среди пострадавших: ИБ-компании Zscaler, Proofpoint и Palo Alto Networks, SaaS-платформы Workiva, PagerDuty и Exclaimer, компания Cloudflare и так далее.