Salesloft 在数百家机构遭遇 OAuth 令牌窃取后,将 Drift 下线
Salesloft 周二宣布,将“在不久的将来”暂时下线 Drift,原因是多家公司已卷入一场影响深远的供应链攻击浪潮,该攻击针对营销软件即服务产品,导致大量认证令牌被盗。
该公司表示:“这将提供最快的途径,以全面审查该应用程序,并在系统中构建额外的弹性和安全性,从而使应用程序恢复完整功能。因此,客户网站上的 Drift 聊天机器人将不可用,且 Drift 将无法访问。”
该公司表示,其首要任务是确保其系统和客户数据的完整性和安全性,并正在与网络安全合作伙伴 Mandiant 和 Coalition 合作,作为其事件响应工作的一部分。
这一进展是在谷歌威胁情报小组 (GTIG) 和 Mandiant 披露了一场据称是大规模数据窃取活动之后。该活动利用了与 Drift 人工智能 (AI) 聊天代理相关的被盗 OAuth 和刷新令牌,以入侵客户的 Salesforce 实例。
该公司上周表示,从 2025 年 8 月 8 日开始,至少持续到 2025 年 8 月 18 日,攻击者通过与 Salesloft Drift 第三方应用程序相关的被盗用 OAuth 令牌,瞄准了 Salesforce 客户实例。
这次攻击被归因于一个被称为 UNC6395(又名 GRUB1)的威胁团伙,谷歌向 The Hacker News 透露,可能已有超过 700 家组织受到影响。
最初有说法称,此次影响仅限于 Salesloft 与 Salesforce 的集成,但后来发现,任何与 Drift 集成的平台都可能受到威胁。攻击者究竟是如何初步入侵 Salesloft Drift 的,目前仍是未知数。
此次事件也促使 Salesforce 暂时禁用了所有 Salesloft 与 Salesforce 的集成,作为一项预防措施。以下是一些已确认受到此次泄露事件影响的企业:
“我们认为这起事件并非孤立事件,而是威胁行为者意图窃取凭据和客户信息,以用于未来的攻击,” Cloudflare 表示。
考虑到数百个组织受到此次 Drift 泄露事件的影响,我们怀疑威胁行为者将利用这些信息对受影响组织中的客户发起有针对性的攻击。
