Thought Leadership
Nach dem großangelegten Angriff auf Salesforce-Kunden über die Salesloft-Drift-Schnittstelle haben nun auch Proofpoint, SpyCloud, Tanium und Tenable Datenverluste bestätigt. Die Attacke soll insgesamt mehr als 700 Unternehmen getroffen haben.
Ende August wurde bekannt, dass Cyberkriminelle der Gruppe UNC6395 OAuth-Token der Chatbot-Plattform Salesloft Drift missbrauchten, um großflächig auf Salesforce-Daten zuzugreifen. Googles Bedrohungsanalyse-Team dokumentierte, wie die Täter gezielt nach wertvollen Informationen wie Cloud-Zugängen, Kennwörtern und Datenbank-Tokens suchten.
Schadensmeldungen nehmen zu
Der ursprünglich auf Drift-Nutzer begrenzt erscheinende Vorfall weitete sich rasch aus. Google bestätigte zwei Tage später auch Workspace-Kompromittierungen, gefolgt von Schadensmeldungen bei Cloudflare, Palo Alto Networks und Zscaler.
Die jüngsten Eingeständnisse stammen von vier etablierten Security-Anbietern:
Proofpoint räumte ein, dass Angreifer via Drift-Connector auf Salesforce-Datenbestände zugreifen konnten. Gleichzeitig versicherte das Unternehmen, dass Produktsysteme, Kundendaten und interne Infrastrukturen unberührt blieben.
SpyCloud berichtete von kompromittierten CRM-Standardfeldern, während Endnutzerdaten nach derzeitigem Stand verschont geblieben seien. Betroffene Geschäftspartner wurden bereits informiert.
Tanium verlor Namen, Mail-Adressen, Rufnummern sowie Standortangaben an die Eindringlinge. Das Unternehmen betonte, dass ausschließlich Salesforce-Inhalte betroffen waren – die eigene Plattform blieb unangetastet.
Tenable meldete den Abfluss von Support-Ticket-Daten inklusive Betreffzeilen, Problembeschreibungen und Geschäftskontakten. Hinweise auf Datenmissbrauch lägen nicht vor.
Sämtliche Betroffenen leiteten Notfallmaßnahmen ein: Credential-Wechsel, Anwendungsentfernung und verschärfte Systemüberwachung gehörten zum Standardrepertoire der Schadensbegrenzung.
