2025年9月,知名销售参与平台Salesloft宣布将暂时关闭其集成的人工智能聊天工具Drift,原因是一场针对该服务的严重OAuth令牌盗窃攻击。此次事件涉及数百家全球知名企业,揭示出SaaS供应链安全的巨大挑战。此次供应链攻击利用被盗OAuth和刷新令牌,诱使攻击者访问相关客户的销售和营销系统,进而威胁客户数据安全,并引发企业广泛关注。Salesloft在声明中指出,临时关闭Drift是为了全面审查平台安全架构,强化系统防御能力,确保客户数据和服务的完整性。相关安全团队与Mandiant、Coalition等专业网络安全机构共同协作,以推动事件响应和风险缓解。事件起因于2025年8月初至中旬期间,攻击组织针对Salesloft集成的Drift应用发起多轮攻击,成功盗取了大量OAuth身份验证令牌。
这些令牌的失窃允许攻击者冒充合法用户,访问包含敏感商业信息的Salesforce实例。而这一行动主体被归因于知名黑客组织UNC6395(亦称GRUB1),其攻击范围广泛,超过七百家企业均可能受到波及。安全专家表示,OAuth令牌盗窃极具隐蔽性和危险性。令牌本质上是无密码认证凭证,攻击者一旦获取,便能不受限制地访问相关服务,绕过多重身份验证机制。此次事件同样暴露出多个集成了Drift的第三方平台也存在风险,不仅限于Salesforce系统,给整个营销自动化生态系统敲响了警钟。Salesforce官方亦采取果断措施,暂时停用所有与Salesloft相关的集成连接,以避免更大规模的数据泄露。
多家受影响企业已公开声明确认此次事件波及其系统,涵盖从云安全厂商到开发平台的多个行业翘楚,如Cloudflare、Palo Alto Networks、PagerDuty、Workday等。这场大规模供应链攻击不仅带来了直接的业务中断,更对受害组织的声誉与客户信任造成严重影响。业内专家普遍认为,此次事件并非孤立之举,而是攻击者为未来发起更复杂多阶段攻击而窃取关键凭据的准备动作。Cloudflare等公司警示,受波及组织应高度警惕针对其用户和系统的后续定向攻击,迅速加强安全防范能力。针对此类基于OAuth令牌的攻击威胁,企业需要采取多层次的安全防御策略。首先,应加强对第三方SaaS应用的访问控制和权限管理,限制令牌权限范围并定期审计。
其次,集成多因素认证和条件访问策略,提高身份验证的安全性。再者,及时监控异常登录行为和凭据使用情况,快速识别潜在入侵风险。此外,企业应与供应链合作伙伴保持密切沟通,联合开展安全加固行动,并制定有效的应急响应预案。事件曝光后,Salesloft承诺将加速推进安全功能升级,积极完善OAuth令牌管理机制,并增强整体系统弹性。与此同时,整个行业开始重新评估现有SaaS生态的安全漏洞,推动更多厂商强化身份和访问管理体系。此次大规模令牌盗窃事件对企业数字化转型和云服务依赖提出了警示。
随着企业数字资产日益集中在云端,供应链安全的复杂性和风险日趋加剧。只有通过系统化的安全治理和技术创新,才能切实保障数据安全和业务连续性。用户和客户也应提高安全意识,配合组织落实严格的安全策略,共同构筑可信赖的数字信任环境。展望未来,OAuth令牌和身份认证管理仍将是云安全防护的重要着力点。结合人工智能和自动化技术提升威胁检测和响应能力,有助于提前发现攻击征兆,防止类似事件再次发生。此次销售和营销软件的安全事故,恰恰提醒数字经济时代,安全永远是企业发展的基石。
只有持续加固网络防线,才能稳健迎接新兴技术带来的机遇和挑战。 。
