- 20,441
- 46
- 8 Ноя 2022
Salesloft празднует возвращение, но хакеры всё ещё рядом.
Salesloft объявила о восстановлении интеграции с Salesforce после инцидента, связанного с платформой Drift и её технологическими связками. По состоянию на вечер 7 сентября 2025 года синхронизация между Salesloft и Salesforce снова доступна, однако перед повторным включением понадобится сверка данных — команда по работе с клиентами свяжется с организациями и проведёт их через короткую процедуру выравнивания, после чего подключение возобновится без задержек.
28 августа были привлечены сторонние специалисты для установления причины и масштаба компрометации Drift и задействованных интеграций, а также для проверки изоляции между средами Drift и Salesloft. К 6 сентября специалисты подтвердили: следы активности злоумышленника тянутся к марту—июню 2025 года. В этот период он входил в GitHub-аккаунт Salesloft, выгружал содержимое нескольких репозиториев, добавлял гостевого пользователя и настраивал рабочие процессы. Анализ событий в приложении Salesloft зафиксировал лишь ограниченную разведку без признаков развития атаки.
Ключевой вектор пришёлся на инфраструктуру AWS со стороны Drift — там атакующий получил OAuth-токены интеграций клиентов Drift и использовал их для доступа к данным через подключённые сервисы. На этом фоне специалисты провели комплекс мер по сдерживанию и зачистке как в среде Drift, так и в собственном приложении Salesloft. В окружении Drift инфраструктуру, код и приложение изолировали, сервис остановили, уязвимые учётные данные заменили. В среде Salesloft оперативно сменили секреты, провели проактивную охоту за угрозами и не обнаружили дополнительных индикаторов компрометации; одновременно укрепили защиту против методов, использованных при атаке.
Отдельный блок работ шёл по разведпризнакам: проверялись инциденты, связанные с потенциально скомпрометированными учётными данными, и события, которые могли бы помочь обойти защитные барьеры Salesloft. Важная техническая деталь — была подтверждена сегментация между приложениями и инфраструктурами Drift и Salesloft, то есть границы между системами сохраняли изоляцию. На текущем этапе инцидент считается локализованным, а фокус расследования смещён на форензическую верификацию выводов.
Параллельно компания сообщает, что во время отключения связки с Salesforce оба продукта работали автономно, без взаимного влияния. Теперь, когда интеграция восстановлена, приоритетом остаются безопасность данных и корректная досинхронизация накопившихся событий. О дальнейших изменениях Salesloft обещает сообщать через страницу доверия, а для оперативной помощи направляет клиентов к службе поддержки.
По оценке группы анализа угроз Google, масштаб инцидента уже измеряется сотнями пострадавших — зафиксировано не менее 700 организаций, чьи интеграции затронуты кражей OAuth-токенов Drift; при этом предлагается рассматривать любую связку с Drift как потенциально скомпрометированную, чтобы не сузить периметр проверки преждевременно.
О последствиях публично сообщили руководители Cloudflare, Zscaler и Palo Alto Networks; за последние 6 дней подтвердили воздействие также Nutanix , Elastic , Cato Networks , Tenable , Rubrik и Proofpoint . Канадский финтех-сервис Wealthsimple отдельно указал на доступ к персональным данным — удостоверения личности, номера счетов, номера социального страхования, даты рождения и контактные сведения; средства не похищались, инцидент локализовали в течение часов.
По характеру затронутой информации доминируют массивы из систем поддержки: содержимое тикетов и сопутствующие вложения. Часть компаний предупредила, что любые предоставленные клиентами артефакты — журналы, токены и пароли — стоит считать скомпрометированными. Другие уточнили, что значительная доля утечек касается бизнес-контактов и связанных с Salesforce записей: имена, рабочие адреса электронной почты, телефоны, геоданные.
На уровне выводов индустрии прозвучал акцент на «нечеловеческих» идентификаторах. Специалисты отметили системный пробел в защите API-токенов и сервисных учётных записей, которые обеспечивают машинные обмены между платформами: по мере роста взаимосвязанности устойчивость экосистемы определяется самым слабым звеном в цепочке поставщиков и клиентов.
Salesloft объявила о восстановлении интеграции с Salesforce после инцидента, связанного с платформой Drift и её технологическими связками. По состоянию на вечер 7 сентября 2025 года синхронизация между Salesloft и Salesforce снова доступна, однако перед повторным включением понадобится сверка данных — команда по работе с клиентами свяжется с организациями и проведёт их через короткую процедуру выравнивания, после чего подключение возобновится без задержек.
28 августа были привлечены сторонние специалисты для установления причины и масштаба компрометации Drift и задействованных интеграций, а также для проверки изоляции между средами Drift и Salesloft. К 6 сентября специалисты подтвердили: следы активности злоумышленника тянутся к марту—июню 2025 года. В этот период он входил в GitHub-аккаунт Salesloft, выгружал содержимое нескольких репозиториев, добавлял гостевого пользователя и настраивал рабочие процессы. Анализ событий в приложении Salesloft зафиксировал лишь ограниченную разведку без признаков развития атаки.
Ключевой вектор пришёлся на инфраструктуру AWS со стороны Drift — там атакующий получил OAuth-токены интеграций клиентов Drift и использовал их для доступа к данным через подключённые сервисы. На этом фоне специалисты провели комплекс мер по сдерживанию и зачистке как в среде Drift, так и в собственном приложении Salesloft. В окружении Drift инфраструктуру, код и приложение изолировали, сервис остановили, уязвимые учётные данные заменили. В среде Salesloft оперативно сменили секреты, провели проактивную охоту за угрозами и не обнаружили дополнительных индикаторов компрометации; одновременно укрепили защиту против методов, использованных при атаке.
Отдельный блок работ шёл по разведпризнакам: проверялись инциденты, связанные с потенциально скомпрометированными учётными данными, и события, которые могли бы помочь обойти защитные барьеры Salesloft. Важная техническая деталь — была подтверждена сегментация между приложениями и инфраструктурами Drift и Salesloft, то есть границы между системами сохраняли изоляцию. На текущем этапе инцидент считается локализованным, а фокус расследования смещён на форензическую верификацию выводов.
Параллельно компания сообщает, что во время отключения связки с Salesforce оба продукта работали автономно, без взаимного влияния. Теперь, когда интеграция восстановлена, приоритетом остаются безопасность данных и корректная досинхронизация накопившихся событий. О дальнейших изменениях Salesloft обещает сообщать через страницу доверия, а для оперативной помощи направляет клиентов к службе поддержки.
По оценке группы анализа угроз Google, масштаб инцидента уже измеряется сотнями пострадавших — зафиксировано не менее 700 организаций, чьи интеграции затронуты кражей OAuth-токенов Drift; при этом предлагается рассматривать любую связку с Drift как потенциально скомпрометированную, чтобы не сузить периметр проверки преждевременно.
О последствиях публично сообщили руководители Cloudflare, Zscaler и Palo Alto Networks; за последние 6 дней подтвердили воздействие также Nutanix , Elastic , Cato Networks , Tenable , Rubrik и Proofpoint . Канадский финтех-сервис Wealthsimple отдельно указал на доступ к персональным данным — удостоверения личности, номера счетов, номера социального страхования, даты рождения и контактные сведения; средства не похищались, инцидент локализовали в течение часов.
По характеру затронутой информации доминируют массивы из систем поддержки: содержимое тикетов и сопутствующие вложения. Часть компаний предупредила, что любые предоставленные клиентами артефакты — журналы, токены и пароли — стоит считать скомпрометированными. Другие уточнили, что значительная доля утечек касается бизнес-контактов и связанных с Salesforce записей: имена, рабочие адреса электронной почты, телефоны, геоданные.
На уровне выводов индустрии прозвучал акцент на «нечеловеческих» идентификаторах. Специалисты отметили системный пробел в защите API-токенов и сервисных учётных записей, которые обеспечивают машинные обмены между платформами: по мере роста взаимосвязанности устойчивость экосистемы определяется самым слабым звеном в цепочке поставщиков и клиентов.
- Источник новости
- www.securitylab.ru
