近期,一起针对销售自动化平台Salesloft Drift的网络攻击事件广泛波及多个知名安全厂商和SaaS平台,其中包括Cloudflare与Zscaler这两家备受关注的企业安全公司。本次攻击通过获取OAuth和刷新令牌,最终导致Salesforce客户数据被非法窃取,成为一次典型的供应链安全事件,凸显了企业在云端服务集成与管理方面面临的巨大风险。销售自动化平台Salesloft Drift作为第三方服务,专注于帮助企业通过集成聊天机器人和CRM系统优化销售流程,其广泛连接了诸如Salesforce、Slack及Google Workspace等多个重要业务平台。因其核心功能与多个系统紧密连接,一旦平台遭受攻击,便可能触发连锁反应波及众多依赖该平台的企业客户。此次网络攻击从2025年8月8日持续至18日,攻击者成功入侵Salesloft Drift平台,从其人工智能代理Drift中窃取了大量客户的OAuth访问令牌和刷新令牌。这些令牌允许他们绕过常规身份验证,直接访问客户的Salesforce实例,进而大量窃取客户敏感数据。
受到影响的企业涵盖了不同领域的领军者,包括网络安全巨头Cloudflare与Zscaler,顶级安全厂商Palo Alto Networks,以及多家SaaS平台如Workiva、PagerDuty和Exclaimer等。Google方面确认,此次攻击是一场大规模的供应链攻击,涉及Google Workspace账户的数据,同时指示所有使用集成平台的企业应假设数据被泄露,立即采取措施加固安全防护。Zscaler公布,调查结果证实攻击者利用被盗凭证获得了对其Salesforce系统的有限访问权限,并由此窃取了包括姓名、电子邮箱地址、职位、电话号码、区域性信息以及产品授权数据和商业敏感信息在内的客户相关数据。幸运的是,Zscaler强调本次事件没有影响其核心产品、基础设施或服务运行,并且尚未发现数据被非法滥用的证据,但仍提醒客户保持警惕,防御可能的钓鱼攻击和社会工程学手段。Palo Alto Networks同样报告了与Zscaler类似的情况。该公司迅速定位并关闭了受影响的Salesforce应用,确认攻击范围仅限于CRM系统内,未对其广泛网络安全产品造成影响。
受攻击信息包括联系提交信息和部分内部销售记录,但未涉及敏感文件或附件。目前,Palo Alto Networks正在通知所有相关客户并协助风险防范。Cloudflare因其在业界的重要作用,成为本次事件中的另一大受害者。攻击者获得了Cloudflare内部客户支持与工单管理使用的Salesforce实例访问权限,并盗取了包含104个API令牌的敏感凭据。虽然Cloudflare及时检测并撤销所有被盗令牌,目前尚无异常行为迹象,但已建议所有受影响客户更换相关访问凭证以防风险。被盗数据中包含客户联系方式及支持交互记录,部分可能涉及客户配置细节和访问令牌等私密信息,这对客户信息安全构成明显威胁。
整个事件暴露出供应链攻击的严重性。攻击者通过入侵一个看似无害的第三方工具,成功穿透多家大型企业的安全防线,窃取大量关键数据。全球安全界由此得出重要警示:在数字化高度依赖第三方服务的时代,单点的安全失守可能导致多米诺骨牌效应,波及无数依赖该资源的企业。进一步的调查将攻击责任归咎于黑客组织UNC6395,而声明认领攻击的ShinyHunters黑客团体亦卷入争议。ShinyHunters此前已与多起涉及顶级品牌如Adidas、Qantas航空、Allianz保险以及奢侈品牌Louis Vuitton、Dior等知名企业相关数据泄露事件有关联,显示攻击者或以数据掠夺为最终目的进行长期且系统性的攻击行动。面对这场持续显现的供应链安全隐患,企业应立刻采取多层次安全措施。
首先,提升对供应链各环节的安全审查,严格管理第三方服务的接入权限,及时更新和撤销不再使用的凭证。其次,加强各平台间的数据访问监控,利用先进的威胁检测和响应机制,快速发现异常访问活动。同时,员工教育及意识提升尤为关键,防范钓鱼攻击和社工手段,以最大限度降低人为因素带来的风险。最后,企业应考虑部署零信任架构,减少信任边界,实现最小权限原则,为数据保护构筑坚实防线。Cloudflare和Zscaler及其同行的遭遇,成为网络安全领域的警钟,提醒各行业加快安全防御转型升级步伐。借助更智能的安全技术及更严密的管理策略,才能在日益复杂的威胁环境中更好保障企业和客户的数据安全。
信息时代,安全无小事,任何一次安全隐患都可能酿成重大事故。企业唯有持续关注安全态势,及时调整防护策略,方能迎接数字化转型的未来。 。
