關閉選單
  1. Home
  2. NEWS最新消息
  3. 訊息與報導
  4. 資訊安全
顯示分類
2025.09.08
訊息與報導/資訊安全
Salesloft Drift資料外洩案:OAuth權杖盜用與GitHub、Salesforce連環危機深度解析

在數位轉型浪潮下,企業對雲端服務的依賴日益加深,然而,這也為網路攻擊者創造了新的入侵途徑。近期備受矚目的Salesloft Drift資安事件,便是一起典型的供應鏈攻擊,它不僅暴露了第三方應用程式整合的潛在風險,更凸顯了OAuth權杖濫用所帶來的嚴重威脅。這場攻擊並非針對單一公司,而是由一個名為UNC6395的駭客組織發動的協同攻擊活動,目標是多家使用Salesforce整合服務的公司。


攻擊者的入侵途徑與手法

攻擊者利用 Salesloft Drift 應用程式存取了 Salesforce 資料,該公司於8月28日聘請谷歌旗下網路安全公司Mandiant主導調查這起入侵事件,調查範圍包括找出根本原因、評估損失以及驗證Salesloft核心環境的安全性。

Salesloft今天發布的詳細闡述 Mandiant 調查結果的公告顯示,攻擊者在 2025 年 3 月至 6 月期間獲得了 Salesloft GitHub 帳戶的存取權限。在此期間,他們從多個私人儲存庫下載了內容,並添加了訪客用戶,並創建了新的工作流程。此次漏洞並非僅針對 Drift,據谷歌威脅情報小組和 Mandiant 稱,這次攻擊是 8 月針對多家公司 Salesforce 整合的協同攻擊活動的一部分

這場攻擊的關鍵在於OAuth權杖的竊取與濫用。OAuth(開放授權)是一種標準協定,允許第三方應用程式在不暴露使用者密碼的情況下,有限度地存取其帳戶資料。Drift作為一個廣泛使用的對話式行銷工具,其與Salesforce、Google Workspace等服務的深度整合,需要OAuth權杖來實現跨平台資料同步。攻擊者正是透過未知的手段取得了這些有效的Drift簽發的OAuth權杖,從而繞過了傳統的帳密驗證,以合法用戶的身分登入並竊取資料。

攻擊者首先鎖定Salesloft的GitHub帳戶,這被認為是整個攻擊鏈的起點。透過入侵這個帳戶,攻擊者得以深入研究Salesloft的程式碼與工作流程,這可能幫助他們更好地理解其產品架構,並找到竊取OAuth權杖的機會。這也揭示了程式碼儲存庫作為企業智慧財產和內部運作機制的關鍵,一旦被攻破,可能成為嚴重資安事件的跳板。


攻擊範圍與資料外洩的嚴重性

最初,外界認為這起事件僅限於使用Salesloft Drift與Salesforce整合的客戶。然而,隨後由Google威脅情報小組與Mandiant發布的報告揭示,攻擊影響範圍遠超預期。除了Salesforce,攻擊者也利用竊取的OAuth權杖入侵了少數使用「Drift Email」整合服務的Google Workspace帳號,讀取了用戶的電子郵件。此外,其他與Drift整合的服務,如Slack、Amazon S3、Microsoft Azure和OpenAI等,也存在被入侵的潛在風險。

這場攻擊的最終目標是竊取機密資料與憑證。攻擊者對受害者的Salesforce實例執行大量查詢,系統性地匯出包含客戶案例、帳戶、使用者及商機等在內的大量敏感數據。他們在竊取的資料中積極搜尋AWS存取金鑰(AKIA)、密碼以及Snowflake相關權杖等,試圖藉此取得進一步的橫向移動與入侵能力。有企業如Cloudflare已證實,因受到此次事件波及,其Salesforce實例被入侵,部分客戶支援資料外洩,包括104個API權杖被盜取,儘管這些權杖並未被惡意使用,但仍需立即輪換。

這起事件的嚴重性在於,攻擊者並非透過Salesforce或Google的核心平台漏洞入侵,而是濫用了一個合法、且被廣泛信賴的第三方應用程式。這使得即使是那些嚴格遵守資安規定的企業,也可能因供應鏈上的薄弱環節而受到攻擊。


企業的應對與未來展望

面對這場大規模的資安危機,Salesloft採取了迅速的應對措施,包括立即撤銷所有受影響的憑證、將Drift服務暫時下線進行隔離與修復,並聘請Mandiant進行全面調查。Salesforce也與Salesloft合作,暫時停用了所有Drift與Salesforce的整合,並將該應用從AppExchange下架。

此事件為所有依賴第三方應用整合的企業敲響了警鐘。它不僅提醒企業需要加強自身的資安防禦,更重要的是,要對供應商進行嚴格的資安審核與風險評估。企業應立即採取以下防護措施:

  1. 全面撤銷並更新權杖: 將所有與Drift平台相關的OAuth權杖視為已遭入侵,並立即強制所有用戶重新驗證,以取得新的、未受威脅的權杖。

  2. 檢視與第三方整合服務: 徹底檢查所有與Drift實例連接的第三方應用程式,並審查其存取權限。

  3. 重新設定憑證與輪替: 即使沒有發現惡意活動,也應立即重置所有可能因資料外洩而暴露的憑證,包括API金鑰、密碼等。

  4. 加強日誌監控: 雖然攻擊者試圖刪除查詢記錄以掩蓋行蹤,但日誌仍保留完整,企業應加強對API日誌與應用程式日誌的監控,以便及早發現異常活動。

  5. 定期進行滲透測試: 針對第三方整合服務進行定期的滲透測試,以發現並修補潛在的漏洞。

總結而言,Salesloft Drift事件是一場複雜而廣泛的供應鏈攻擊,它再次證明了在日益互聯的數位生態系中,任何一個薄弱環節都可能成為整個系統的致命弱點。這起事件不僅是對Salesloft和其客戶的考驗,也是對整個產業在雲端安全與第三方整合風險管理方面的一次深刻教育。唯有不斷強化防禦,並建立健全的應變機制,企業才能在這場持續演進的資安戰中立於不敗之地。


資料來源:https://hackread.com/salesloft-drift-breach-github-compromise-oauth-tokens/
剖析Salesloft Drift因OAuth權杖遭盜用而引發的資安事件,這場供應鏈攻擊不僅波及GitHub,更導致大量Salesforce客戶資料外洩。