2025年8月,一起涉及Salesloft平台的OAuth授权漏洞引发的严重数据泄露事件震惊了云安全领域。黑客通过Salesloft集成的Drift人工智能聊天代理,成功获取了大量Salesforce客户的敏感数据,涉事范围涵盖数百家企业。此次事件不仅揭示了OAuth认证机制在实际应用中的潜在风险,还反映出现代SaaS供应链中隐蔽的安全威胁。本文将深入探讨此次数据泄露事件的背景、攻击路径、影响及后续应对措施,以期为广大企业用户提供有益的安全参考。 首先要了解的是此次事件的攻击主体。相关安全机构如谷歌威胁情报集团(GTIG)及知名安全公司Mandiant将该威胁组织标识为UNC6395,这是一个新兴且具高度纪律性的黑客团伙。
据悉,攻击起始时间大约从2025年8月8日开始,持续超过十天,在此期间利用从Drift AI聊天代理处窃取的OAuth和刷新令牌,针对Salesforce客户实现了大规模横向渗透。 OAuth授权作为现代云应用广泛采用的身份验证和访问控制方式,旨在实现第三方应用安全访问用户资源,避免暴露用户密码。然而,攻击者利用OAuth令牌的特性,绕过传统身份认证,直接获得API访问权限,从而能够查询和导出大量敏感信息。在本次事件中,威胁团伙通过Salesloft与Drift的第三方应用连接,获取Salesforce各种对象的数据,包括客户案例、账户、用户信息及商机等。 更值得注意的是,攻击者展示了高度的操作安全意识。他们不仅系统地运行结构化查询,重点搜集各类凭据,如亚马逊云服务(AWS)访问密钥、密码以及Snowflake访问令牌,还主动删除查询任务以掩盖痕迹。
在云环境中,日志和审计数据一旦被篡改,传统检测手段将面临极大挑战,这也给安全防御提出了更高要求。 进一步分析此事件背后的战略意图,可以看到攻击者可能将此次入侵视为更大范围供应链攻击的开端。许多受影响的企业本身是安全和技术供应商,这意味着攻击者通过突破供应商身份进入后续客户和合作伙伴的系统,扩大攻击面和潜在影响。此举凸显了技术供应链环境中信任关系管理的复杂性及脆弱性,强化了对第三方集成持续监督的必要性。 面对这场数据泄露风暴,Salesloft迅速采取了若干应急措施。公司于8月20日发布安全通告,确认发现Drift应用存在安全问题,随即主动切断了Drift与Salesforce之间的所有连接,并建议客户重新认证Salesforce连接以恢复集成。
同时也提醒所有使用基于API密钥的Drift集成用户立即撤销旧密钥并生成新密钥。此外,Salesforce官方也证实受影响客户数量有限,并强调侵害源自第三方应用连接的安全妥协。 这起事件引发了关于OAuth与API安全的广泛讨论。OAuth虽然提供了便捷的授权手段,却存在令牌生命周期管理、权限最小化设计以及多因素认证集成等方面的挑战。特别是在复杂的云服务生态系统中,随着第三方应用和自动化工具的普及,任何一个连接点的安全薄弱都可能成为攻击跳板。 因此企业应当加强对OAuth令牌的管控,实施细粒度访问策略,定期审查并撤销过期或异常的令牌使用。
同时,对于所有第三方集成应用,必须建立健全的风险评估和监控体系,防止恶意行为未被及时察觉。云环境的安全日志应得到妥善保管和备份,确保在发生异常访问时有足够的溯源信息供调查分析。 此外,此类攻击事件表明云安全防御已不仅停留在单点防护水平,更需要在供应链和多层级生态中构建整体防御能力。企业应强化供应链安全合作,通过合同、技术和流程多维度保障合作伙伴的安全基线。联合安全演练和威胁情报共享机制有助于提升整体应对能力,降低大规模跨企业攻击的风险。 总结来看,Salesloft OAuth漏洞引发的Salesforce客户数据泄露事件,是当前云生态系统中身份认证和第三方集成安全挑战的典型案例。
它警示我们传统安全管控手段难以完全应对云时代快速变化的威胁模式。企业不仅需要加强技术手段,如多因素认证、严格的API访问控制和实时威胁检测,还需注重安全文化建设和供应链风险管理。通过全面提升安全防护水平,才能有效守护关键客户数据,避免类似事件重演。在云技术日益普及的趋势下,安全的责任已超越单一企业边界,成了全生态的共同使命。
