2025年9月,Salesloft官方披露其GitHub账户在今年3月遭遇黑客入侵事件,黑客通过此次入侵偷取了大量认证令牌(authentication tokens),并以此为切入点对其多家重要客户实施数据攻击,涉及知名企业包括Bugcrowd、Cloudflare、Google、Proofpoint、Palo Alto Networks及Tenable等。此次事件不仅暴露了Salesloft及其合作伙伴在网络安全方面的脆弱性,也再度提醒企业在数字化转型加速的背景下,严防敏感凭证外泄的必要性。 事件回顾及原理解析此次事件的起因是Salesloft的GitHub账户被黑客成功攻破,黑客通过该渠道进行了长达数月的侦察与准备工作,最终窃取了多个代码仓库中的内容,甚至添加了Guest用户权限和建立了自动化工作流程。值得注意的是,这一异常活动从3月开始,直到近6个月后才被公司发现和遏制,暴露出企业安全监测的明显漏洞。 GitHub作为软件开发和版本控制的全球领先平台,通常承载着企业核心代码和与其系统对接的关键凭证。黑客通过入侵GitHub获得OAuth令牌,便获得了访问Salesloft关联云服务 - - 尤其是AWS(Amazon Web Services)云环境的权限。
OAuth标准允许应用之间安全授权互通,是现代软件架构中不可或缺的桥梁。然而一旦OAuth令牌遭到泄露,则可能被攻击者利用,直接以受信身份访问受保护资源。 在本次攻击中,黑客利用被盗OAuth令牌侵入了Salesloft旗下应用Drift平台的云环境,成功访问了存储客户数据的AWS系统。Drift主要作为一款AI驱动的聊天机器人和市场营销平台,与诸如Salesforce之类的CRM系统紧密集成,因此一旦攻击者获得了Drift平台的访问权,便有可能透过该通道深入客户的业务系统,窃取大量敏感数据。 黎明前的警钟此次事件最受关注的是为何这场从3月已开始的渗透,Salesloft竟然直到近6个月后才察觉。根据Google旗下安全应急响应团队Mandiant的调查,攻击者在潜伏期间进行了系统侦查、权限逐步升级、数据窃取和安全机制规避等一系列操作,却未被第一时间检测出来。
这暴露了企业在安全可视化、入侵检测响应、以及供应链安全治理方面仍有较大改善空间。尤其是供应链攻击的隐蔽性让传统安全边界变得薄弱,企业若不及时采用多层次监控,以及对开发环境权限精细化管制,则极易成为攻击链条的薄弱环节。 攻击者身份与动机 谈及幕后黑手,Google威胁情报团队将攻击归因给名为UNC6395的黑客组织,而安全行业媒体如DataBreaches.net和Bleeping Computer则指出"ShinyHunters"黑客集团可能参与其中。ShinyHunters以大规模数据盗窃和勒索闻名,业界推测此次攻击旨在通过私下联系受害者进行敲诈勒索,谋取经济利益。 不同于传统黑客以单纯破坏为目的,这类组织更倾向于在获得访问权限后优先搜集用于勒索的关键凭证,例如AWS登录密钥、用户密码、以及Snowflake数据库相关的访问令牌等,显著提升攻击的破坏力和影响范围。影响及行业反响 此次事件影响深远,不仅使Salesloft及其客户面临数据泄露风险,同时也引发了整个技术行业对软件供应链安全的高度警惕。
包括数家行业巨头在内的客户信息被非法访问,可能导致客户信任下降、法律责任加剧及长远的品牌损害。 此外,该事件也揭示了现代企业在多云环境及第三方服务依赖日益加深的情况下,如何有效保护访问凭证成为关键难题。OAuth令牌一旦被攻破,攻击者便能在多系统之间横向移动,对企业构成极大威胁。 应对及防御建议 在当前安全态势下,企业应从多个角度提升防护能力。首先,加强对代码托管平台权限的管理至关重要,需要实行最小权限原则、启用多因素认证(MFA),并对API访问进行严格限制和审计。其次,应部署高效的安全监测工具,实时监控异常行为,缩短入侵检测与响应时间。
供应链安全同样不容忽视,企业需要评估并持续跟踪第三方服务的安全状态,确保他们的安全实践符合标准。同时,强化员工安全意识培训,完善数据访问策略,是防止内部及外部威胁的重要环节。 对于OAuth等令牌管理,建议使用短生命周期令牌,配合自动化撤销机制,一旦发现异常应迅速失效相关凭证,最大限度降低被滥用风险。 企业还应制定完善的事件响应计划,定期进行演练,一旦遭遇类似攻击能迅速封堵与修复,保障业务连续性。 结语 2025年Salesloft GitHub账户被黑及Drift客户数据泄露事件,再次凸显了现代企业信息安全风险的复杂性和严峻性。在数字化进程不断加速的今天,供应链攻击已成为网络安全领域不可忽视的重要威胁。
企业唯有深刻认识潜在风险,科学合理地制定并实施安全防护措施,才能在激烈竞争的商业环境中保障自身和客户利益不受侵害。 面对新时代的安全挑战,技术与管理必须齐头并进,方能筑起坚不可摧的安全防线,守护企业数字资产的安全与信任。 。
