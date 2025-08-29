Neue Angriffe auf Salesforce-Kunden

29. August 2025 um 13:16
  • security
  • breach
  • salesforce
  • Google
image
Illustration: Gerd Altmann / Pixabay

Dieses Mal wurden Unternehmen ins Visier genommen, welche die Zusatzapplikation Salesloft Drift verwenden.

In den vergangenen Wochen wurden eine ganze Reihe von erfolgreichen Cyberangriffen auf bekannte Salesforce-Kunden bekannt. Bei diesen Angriffen verwendeten die Cyberkriminellen hauptsächlich Social Engineering, um an die Login-Daten von Unternehmensangestellten zu kommen. Wie die Google Threat Intelligence Group (GTIG) nun bekannt gegeben hat, gab es auch Mitte August eine weitere Welle von Angriffen. Dabei wurde eine andere Angriffsmethode verwendet.
Die neue Angriffswelle dauerte laut GTIG vom 8. bis mindestens 18. August. Die Hackerbande, von GTIG als UNC6395 identifiziert, kompromittierte dafür OAuth Tokens der von einem Drittunternehmen stammenden Applikation Salesloft Drift. Mit solchen "Non Human Identities" (NHIs) können autorisierte Applikationen von Drittunternehmen auf die Inhalte von anderen Applikationen, beispielsweise Salesforce, zugreifen, ohne dass dafür ein Passwort oder eine Multifaktor-Identifizierung notwendig ist. Der Diebstahl von NHIs ist, wie Security-Fachleute warnen, ein zunehmender Trend unter Cyberkriminellen.
Mit den gestohlenen Tokens von Salesloft Drift konnten die Hacker deshalb problemlos auf Konten von Salesforce-Anwendern zugreifen, die eine Integration mit Salesloft Drift eingerichtet hatten. Wenn die Hacker Zugriff auf ein Konto erhielten, kopierten sie laut GTIC jeweils grosse Datenmengen. Ihr Hauptziel sei es dabei gewesen, an weitere, noch höherwertige Logins, Tokens oder Schlüssel zu kommen, um damit zukünftige Attacken durchzuführen.
Aufgrund der Informationen des Google-Teams deaktivierten Salesloft und Salesforce am 20. August alle aktiven Zugangstokens der Drift-Applikation. Zudem hat Salesforce die App zumindest vorübergehend aus der Appexchange-Plattform entfernt.
Nach neusten Erkenntnissen waren aber nicht nur Salesforce-Kunden betroffen. Am 9. August, so das Google-Team, haben die Angreifer auch einige Google-Workspace-Konten geknackt, die mit Salesloft Drift integriert waren. Auch Google hat deshalb Zugriffe durch Drift unterbunden. Diese Vorfälle zeigen aber, so die GTIG, dass Drift-Anwender alle Token, ungeachtet für welche integrierte Applikation sie sind, als kompromittiert erachten und deaktivieren sollten.


