Des informations supplémentaires ont fait surface et de nouvelles victimes se sont présentées dans la violation de SalesLoft Drift, qui a affecté plus de 700 organisations dans le monde.
SalesLoft et Salesforce ont annoncé le 20 août qu’ils avaient révoqué des liens entre Drift, un chatbot d’IA pour les équipes de vente et de marketing, et le Salesforce CRM après avoir détecté un problème de sécurité dans l’application Drift. Le 26 août, les sociétés ont annoncé qu’un acteur de menace avait utilisé des informations d’identification compromises liées au chatbot pour obtenir un accès non autorisé aux instances Salesforce entre le 8 et le 18 août, bien que de nouvelles informations aient révélé que l’acteur de menace avait eu accès aux mois de GitHub de Salesloft des mois auparavant.
Lisez une chronologie de l’attaque et de ses retombées ci-dessous.
La violation met en évidence l’importance de la gestion des risques tierces, de la gestion des risques et de la sécurité des chaînes d’approvisionnement du quatrième parole, en particulier dans les environnements SaaS, ainsi que de la forte authentification, notamment la sécurité des jetons, les contrôles d’accès privilégiés et les fortes procédures de réponse aux incidents.
Google met en garde contre la campagne de vol d’identification ciblant les utilisateurs de Salesforce
Le groupe de renseignements sur les menaces de Google a rapporté que l’acteur de menace UNC6395 visait les organisations en utilisant des jetons OAuth compromis associés à SalesLoft Drift.
Les attaquants ont utilisé un outil Python pour automatiser le vol de données à partir des instances Salesforce entre les 8 et 18 août, recherchant des informations d’identification sensibles, y compris les clés d’accès AWS et les jetons de flocon de neige.
SalesLoft et Salesforce ont révoqué les jetons compromis et Salesforce a supprimé la dérive de son marché AppExchange. Google a ensuite averti que le compromis s’étendait au-delà des intégrations Salesforce, affectant potentiellement tous les jetons d’authentification connectés à la plate-forme de dérive, y compris les jetons d’intégration “Drift Email”.
Lisez l’histoire complète publiée le 26 août par David Jones sur Cybersecurity Dive.
Palo Alto Networks et Zscaler affectés par les attaques
Palo Alto Networks a confirmé qu’il avait été touché par l’incident de la chaîne d’approvisionnement de SalesLoft Drift qui a compromis les données Salesforce des clients, affectant principalement les informations de contact et les données du compte de vente. La société contenait la violation en désactivant la demande de son environnement Salesforce et a confirmé qu’elle n’avait aucun impact sur ses produits ou services.
Zscaler a déclaré une violation similaire affectant les données de contact professionnel, y compris les noms, les adresses e-mail d’entreprise, les numéros de téléphone et les informations de licence de produit ZSCaler. Il a également confirmé que la violation n’a pas affecté ses produits ou services.
Lire l’histoire complète publiée le 2 septembre par David Jones sur la plongée sur la cybersécurité.
CloudFlare et Proofpoint Rejoignent la liste des victimes
Cloudflare et Proofpoint ont révélé qu’ils étaient victimes des attaques de dérive Salesloft d’août 2025.
Entre les 9 et 17 août, les attaquants ont accédé aux cas de support Salesforce de Cloudflare contenant les coordonnées et la correspondance des clients, compromettant 104 jetons API, qui ont ensuite été tournés. Cloudflare a pris la responsabilité malgré une attaque plus importante, écrivant dans un article de blog d’entreprise: “Nous sommes responsables des outils que nous utilisons”.
Les deux sociétés ont désactivé l’intégration de dérive et ont confirmé qu’il n’y avait aucun impact sur leurs services de base, infrastructures ou données protégées par le client.
Lisez l’histoire complète publiée le 3 septembre par David Jones sur Cybersecurity Dive.
La gravité de l’attaque de la chaîne d’approvisionnement n’est pas claire
Les attaques SalesLoft Drift continuent de se développer alors que de nombreuses sociétés de cybersécurité rapportent des compromis, Tenable rejoignant la liste des fournisseurs.
Okta a indiqué qu’il a empêché avec succès le compromis grâce à des restrictions IP et à des cadres de sécurité, y compris IPSie.
Les experts en sécurité ont averti que les jetons oauth volés sont particulièrement dangereux car ils permettent aux attaquants d’accéder aux systèmes sans déclencher des alertes de sécurité typiques.
Lire l’histoire complète publiée le 4 septembre par Alexander Culafi sur Dark Reading.
Compromis GitHub révélé comme source
L’enquête de Mandiant a révélé que l’attaque de l’acteur de menace UNC6395 contre des centaines d’instances Salesforce a commencé par un compromis du compte GitHub de Salesloft dès mars 2025.
Entre mars et juin, les attaquants ont téléchargé des données de référentiel et effectué une reconnaissance avant d’accéder à l’environnement AWS de Drift. Là, ils ont volé des jetons à partos pour diverses intégrations technologiques au-delà de Salesforce.
Les victimes de violations de dérive supplémentaires de Salesloft incluent Qualits, Rubrik, Spycloud, Beyondtrust, Cyberark, Elastic, Dynatrace, Cato Networks et BugCrowd.
Lire l’histoire complète publiée le 8 septembre par Rob Wright sur Dark Reading.
Salesforce restaure l’intégration Salesloft, maintient la dérive désactivée
Salesforce a restauré l’intégration avec la plate-forme SalesLoft après l’enquête de Mandiant sur l’attaque, mais le composant Drift reste désactivé jusqu’à nouvel ordre.
Lisez l’histoire complète publiée le 8 septembre par David Jones sur Cybersecurity Dive.
Note de l’éditeur: Un éditeur a utilisé des outils d’IA pour aider à la génération de ce mémoire. Nos éditeurs experts examinent et modifient toujours le contenu avant de publier.
Sharon Shea est rédacteur en chef du site de recherche de recherche d’OndroTA TechTarget.
