Thought Leadership
Angreifer haben Anfang August die Daten von Hunderten Salesforce-Instanzen gestohlen. Der Angriff erfolgte über kompromittierte OAuth-Tokens des Drittanbieters Salesloft .
Wie die Google Threat Intelligence Group (GTIG) berichtet, nutzten Cyberkriminelle zwischen dem 8. und 18. August 2025 eine Sicherheitslücke bei der Salesforce-Integration des KI-Chatbots Drift von Salesloft aus. Dabei handelt es sich nicht um eine Schwachstelle in der Salesforce-Plattform selbst, sondern um kompromittierte OAuth-Authentifizierungstoken.
Systematischer Datenklau mit Python-Tools
Die als UNC6395 bezeichnete Hackergruppe ging dabei hochprofessionell vor und exportierte systematisch große Datenmengen aus zahlreichen Unternehmens-Salesforce-Instanzen. “Der Akteur nutzte ein Python-Tool, um den Datendiebstahl für jede angegriffene Organisation zu automatisieren”, erklärte GTIG-Analyst Austin Larsen gegenüber SecurityWeek.
Primäres Ziel der Angreifer war offenbar das Abgreifen von Zugangsdaten. Die gestohlenen Informationen durchsuchten sie gezielt nach sensiblen Daten wie AWS-Schlüsseln, Passwörtern und Snowflake-Zugangstokens.
Nur Drift-Integration betroffen
Salesloft betont, dass ausschließlich Organisationen betroffen sind, die Drift mit Salesforce integriert haben. In Zusammenarbeit mit Salesforce sperrte das Unternehmen am 20. August alle Drift-Token. Betroffene Kunden müssen ihre Drift-Salesforce-Verbindungen neu authentifizieren.
“Wir haben festgestellt, dass Kunden, die unsere Drift-Salesforce-Integration nicht nutzen, von diesem Vorfall nicht betroffen sind”, teilte Salesloft am Dienstag mit. Nach aktuellen Erkenntnissen gebe es keine Hinweise auf fortlaufende schädliche Aktivitäten.
Salesforce entfernt Drift aus AppExchange
Während GTIG von Hunderten kompromittierten Organisationen spricht, gibt Salesforce an, dass nur eine kleine Anzahl von Kundeninstanzen über die Drift-Verbindung zugänglich war. Alle betroffenen Kunden seien benachrichtigt worden. Als Reaktion entfernte Salesforce die Drift-Anwendung aus dem AppExchange-Marktplatz.
Empfehlungen für Betroffene
TIG empfiehlt eine gründliche Überprüfung auf Kompromittierungszeichen sowie die Rotation aller in Salesforce-Objekten gespeicherten Zugangsdaten und Geheimnisse.
Obwohl UNC6395 Abfrage-Jobs löschte, um ihre Spuren zu verwischen, blieben die Protokolldateien unberührt. Betroffene Unternehmen sollten daher relevante Logs auf Anzeichen einer Datenkompromittierung überprüfen.
