RSS Cloud Blog
Folgen
Weit verbreiteter Datendiebstahl zielt auf Salesforce-Instanzen über Salesloft und Drift
Die Google Threat Intelligence Group (GTIG) hat eine Warnung bezüglich einer weitverbreiteten Daten-Diebstahl-Kampagne des Akteurs UNC6395 herausgegeben. Die Kampagne, die vom 8. bis 18. August 2025 aktiv war, zielte auf Salesforce-Kundeninstanzen ab. UNC6395 nutzte kompromittierte OAuth-Tokens, die mit der Salesloft-Drift-Drittanwendung verbunden waren. Der Akteur exportierte systematisch große Datenmengen und versuchte hauptsächlich, Anmeldedaten zu sammeln. Insbesondere suchte UNC6395 nach sensiblen Informationen wie AWS-Zugriffsschlüsseln, Passwörtern und Snowflake-Tokens. Obwohl UNC6395 versuchte, seine Spuren durch das Löschen von Abfragejobs zu verwischen, bleiben die Logs für die forensische Analyse verfügbar. Salesloft hat alle aktiven Token für die Drift-Anwendung widerrufen und sie aus dem Salesforce AppExchange entfernt. Dieser Vorfall resultiert nicht aus einer Schwachstelle in der Salesforce-Kernplattform. Die GTIG empfiehlt Organisationen, die Drift mit Salesforce verwenden, ihre Daten als kompromittiert zu betrachten und sofortige Schritte zur Behebung zu unternehmen. Diese Schritte umfassen das Suchen und Rotieren aller entdeckten Geheimnisse, das Zurücksetzen von Passwörtern und das Sichern von Zugriffskontrollen für verbundene Anwendungen.