Mai multe companii din sectorul securității cibernetice — Palo Alto Networks, Google, Zscaler și Cloudflare — au suferit o breșă de date după ce o grupare de hackeri le-a compromis instanțele Salesforce conectate la aplicația Salesloft Drift — un chat AI utilizat în vânzări.
Atacatorul a reușit să fure token-uri OAuth folosite în platforma Drift pentru a extrage informații stocate în instanțele Salesforce, vizate fiind în special date sensibile precum credențiale, parole și token-uri de autentificare cu alte servicii.
Salesforce este o platformă cloud de tip CRM (Customer Relationship Management) ce ajută companiile în gestionarea relațiilor cu clienții, păstrând detaliile partenerilor și clienților (de exemplu: contacte, istoricul interacțiunilor, oportunități de vânzare) într-un singur loc.
Platforma acceptă integrări cu alte servicii, precum Salesloft Drift — un serviciu de marketing conversațional ce poate genera analize și rapoarte și poate califica interacțiunile cu vizitatorii pentru a-i transforma în potențiali clienți (lead-uri).
După detectarea atacului, Salesloft a revocat toate conexiunile dintre aplicația Drift și serviciul Salesforce și a notificat companiile impactate.
Un raport al diviziei Google de threat intelligence (GTIG — Google Threat Intelligence Team) despre breșa aplicației Salesloft Drift avertizează că atacatorii au accesat instanțele companiilor care aveau integrare cu soluția Salesforce.
Pe scurt, atacatorii au folosit token-uri de autentificare OAuth pentru a accesa Salesloft Drift și, de acolo, au pivotat către instanțele Salesforce, unde au căutat informații sensibile (credențiale, parole, chei de acces AWS, token-uri de acces) cu scopul de a compromite mediile corporative.
Se estimează că au fost afectate peste 700 de companii, dar mai puțin de 30 au confirmat impactul, printre acestea numărându-se Palo Alto Networks, Google, Zscaler, Cloudflare, Tenable, Proofpoint, Qualys și CyberArk — toate active în domeniul securității cibernetice.
Echipa de incident response de la Google (Mandiant) a investigat incidentul și a publicat un raport în care precizează că un număr redus de conturi Google Workspace au fost afectate.
Mențiunea Google Workspace era necesară deoarece serviciul, care include aplicația Gmail, poate fi integrat cu Salesloft Drift, iar permisiunea de acces pentru conexiune se realizează prin token-uri OAuth.
Pentru că hackerii au folosit token-uri OAuth compromise pentru a accesa Salesloft Drift, au fost afectate și un număr mic de companii ce utilizează Google Workspace.
„On August 9, 2025, a threat actor used these [OAuth] tokens to access email from a very small number of Google Workspace accounts.”
Google subliniază însă că doar conturile Workspace integrate cu aplicația Salesloft Drift au fost afectate și că atacatorul nu ar fi putut accesa alte conturi din serviciul Workspace al unei companii.
„The only accounts that were potentially accessed were those that had been specifically configured to integrate with Salesloft Drift; the actor would not have been able to access any other accounts on a customer’s Workspace domain.”
Printre recomandări, Google propune resetarea parolelor asociate conturilor utilizatorilor, dar numai în contextul prezentat, nu pentru toți utilizatorii Gmail.
La secțiunea de recomandări din raport, în subsecțiunea dedicată revocării și schimbării credențialelor, Google recomandă resetarea parolelor asociate conturilor utilizatorilor, în contextul prezentat, nu pentru cele peste două miliarde de utilizatori Gmail.
