Множество крупных компаний сообщают, что пострадали от хакерской атаки, связанной со взломом Salesloft Drift. Среди них: ИБ-компании Zscaler и Palo Alto Networks, SaaS-платформы Workiva, PagerDuty и Exclaimer, компания Cloudflare и многие другие.
Напомним, что на прошлой неделе стало известно, что хакеры скомпрометировали платформу автоматизации продаж Salesloft и похитили OAuth и refresh-токены клиентов из ее ИИ-агента Drift, предназначенного для интеграции с Salesforce (не имеет отношения к Salesloft).
Как после предупредили представители Google, атака была массовой и затронула, в том числе, данные Google Workspace.
Salesloft Drift представляет собой стороннюю платформу для интеграции ИИ-чат-бота Drift с инстансом Salesforce, позволяя организациям синхронизировать разговоры, лиды и обращения в поддержку со своей CRM. Для оптимизации процесса Drift также может интегрироваться с различными сервисами, включая Salesforce и другие платформы (Slack, Google Workspace и другие).
Атака длилась с 8 по 18 августа 2025 года. В результате взлома злоумышленники получили клиентские токены Drift, используемые для интеграции с Salesforce, а затем использовали их для кражи данных из Salesforce.
В итоге аналитики Google рекомендовали всем компаниям, использующим Drift, интегрированный с Salesforce, считать свои данные скомпрометированными.
Теперь представители компании Zscaler сообщили, что ее инстанс Salesforce подвергся взлому в рамках этой атаки на цепочку поставок, в результате чего была раскрыта информация о клиентах.
«В рамках этой кампании неавторизованные третьи лица получили доступ к учетным данным Salesloft Drift ее клиентов, включая Zscaler, — пишут в компании. — В рамках продолжающегося расследования мы провели детальный анализ и выяснили, что эти учетные данные позволили злоумышленникам получить ограниченный доступ к некоторым данным Salesforce компании Zscaler».
В руки хакеров попала следующая информация:
- имена;
- адреса электронной почты;
- должности;
- номера телефонов;
- региональная информация;
- данные о лицензировании продуктов Zscaler и коммерческая информация;
- содержимое некоторых запросов в поддержку.
Компания подчеркивает, что утечка данных затронула только Salesforce, и никакие продукты, услуги и инфраструктура Zscaler не пострадали.
В Zscaler уверяют, что не обнаружили случаев неправомерного использования похищенной информации. Однако клиентам компании рекомендуется сохранять бдительность в отношении возможных фишинговых атак и социальной инженерии.
Еще одной жертвой этой атаки на цепочку поставок стала Palo Alto Networks. Специалисты заявляют, что компания стала одной из сотен жертв этой вредоносной кампании. В данном случае инцидент тоже ограничился CRM-системой Salesforce и не затронул какие-либо другие продукты, системы и сервисы.
«Palo Alto Networks подтверждает, что стала одним из сотен клиентов, пострадавших от масштабной атаки на цепочку поставок, нацеленной на Salesloft Drift, в результате которой были раскрыты данные Salesforce, — сообщают в Palo Alto Networks. — Мы быстро локализовали инцидент и отключили приложение в нашей среде Salesforce. Наше расследование подтверждает, что эта ситуация не повлияла на какие-либо продукты, системы или сервисы Palo Alto Networks».
Злоумышленники так же похитили контактную информацию и связанную с ней информацию об учетных записях, а также внутренние записи о продажах. Подчеркивается, что украденные данные, связанные с обращениями в службу технической поддержки, содержали только контактную информацию и текстовые комментарии, но не файлы или вложения.
Palo Alto Networks уже уведомляет о случившемся всех пострадавших клиентов.
Другой крупной жертвой компрометации Salesloft Drift стала компания Cloudflare. Представители интернет-гиганта сообщили, что злоумышленники получили доступ к инстансу Salesforce, который использовался для внутреннего управления обращениями и поддержки клиентов, а также содержал 104 токена API Cloudflare.
Специалисты Cloudflare узнали об атаке еще 23 августа, и ко 2 сентября оповестили всех пострадавших клиентов об инциденте. Перед тем как сообщить клиентам об атаке, компания аннулировала все 104 токена, похищенных во время взлома, хотя в настоящее время никакой подозрительной активности, связанной с ними, обнаружено не было.
«Большая часть [похищенной] информации представляет собой контактные данные клиентов и базовое содержимое обращений в службу поддержки. Однако некоторые взаимодействия со службой поддержки клиентов могли раскрывать информацию о конфигурации клиента и содержать конфиденциальную информацию, включая токены доступа», — заявили в Cloudflare .
Таким образом, любая информация, которой клиент мог поделиться с Cloudflare через систему поддержки (включая логи, токены и пароли), должна считаться скомпрометированной. Пользователям настоятельно рекомендуется сменить любые учетные данные, которыми они могли делиться с компанией.
«Мы полагаем, что этот инцидент не был единичным случаем, а злоумышленники намеревались собрать учетные данные и информацию о клиентах для будущих атак, — предупреждают в Cloudflare. — Учитывая, что от компрометации Drift пострадали сотни организаций, мы подозреваем, что злоумышленники будут использовать полученную информацию для запуска целевых атак против клиентов пострадавших организаций».
Также о компрометации Salesforce, последовавшей за взломом Salesloft Drift, сообщили SaaS-платформы Workiva, PagerDuty и Exclaimer; ИБ-компании Tanium и SpyCloud; облачная компания Cloudinary. Список пострадавших продолжает быстро пополняться.
Хотя специалисты Google возлагают ответственность за эти атаки на хак-группу под идентификатором UNC6395, представители группировки ShinyHunters заявили изданию Bleeping Computer, что это они стоят за атакой.
За последние месяцы от похожих утечек данных, связанных с Salesforce и активностью ShinyHunters, пострадали: Adidas, авиакомпания Qantas, страховая компания Allianz Life, ряд брендов LVMH (Louis Vuitton, Dior и Tiffany & Co), сайт Cisco.com, а также модный дом Chanel и датская ювелирная компания Pandora.