這次 Salesloft 漏洞產生的供應鏈攻擊災情繼續擴大,駭客攻擊者利用客戶互動平台 Salesloft 旗下 Drift 應用的 OAuth 授權漏洞,成功入侵了數百家企業的 Salesforce 客戶關係管理 (CRM) 系統,竊取了大量敏感資料。此次事件波及範圍甚廣,就連 Cloudflare、Palo Alto Networks、Zscaler 等頂尖資安公司也說明了這次被影響的範圍。
根據 Google 威脅情報團隊 (GTIG) 發布的最新分析,此次攻擊由代號 UNC6395 的駭客組織策動,其主要目標是竊取儲存於 Salesforce 中的雲端服務憑證,再次凸顯了第三方應用整合所帶來的潛在資安風險。
事件背景與攻擊鏈剖析
本次攻擊的核心,在於 Drift 這款被 Salesloft 收購的對話式行銷工具。Drift 透過與 Salesforce 的深度整合,讓企業能同步銷售與行銷資料。然而,正是這項便利的整合功能,成為了攻擊者入侵的破口。Google 的報告證實,攻擊者 UNC6395 利用一個先前已發行且有效的 Drift 應用程式 OAuth 權杖 (Token),在 2025 年 8 月初到 8月中旬期間,繞過正常驗證程序,直接透過 API 存取了多家企業的 Salesforce 環境。
攻擊者的手法精密且目標明確,攻擊者利用 Salesforce 物件查詢語言 (SOQL),發出大量查詢指令,系統性地匯出包含客戶聯絡資料、銷售紀錄與支援案件在內的各種物件,在竊取的資料中,攻擊者會特別搜尋 AKIA (AWS 存取金鑰特徵)、password、snowflake 等關鍵字串,目的呢,是為了找出儲存在 Salesforce 欄位或附件中的高價值憑證,一旦竊得這些憑證,攻擊者便可將其作為橫向移動的跳板,進一步滲透到企業更核心的雲端基礎設施(如 AWS、Google Workspace)或資料儲存環境中。
衝擊範圍擴大,多家資安大廠證實受害
隨著事件調查的深入,受害企業名單不斷擴大,情況遠比初期預想的嚴重,Zscaler、Cloudflare、Palo Alto Networks 這三家資安巨頭相繼證實,其 Salesforce 租戶遭到未經授權的存取。外洩的資料主要包含客戶聯絡資訊、內部銷售紀錄以及基本的支援案件資料。
Cloudflare 在這篇 The impact of the Salesloft Drift breach on Cloudflare and our customers 公告中指出,有 104 個 API 權杖遭外洩,但已在發現後立即替換。資料分析業者 Datadryl 的災情更為嚴重。攻擊者不僅竊取了其 Salesforce 資料,更利用從中找到的憑證,成功入侵了該公司自架的程式碼代管平台 GitLab 與 企業用 AWS 帳戶,顯示了此類供應鏈攻擊產生的連鎖效應風險。
各方回應與緩解措施
事件爆發後,相關各方迅速採取了應對措施。Salesforce 與 Salesloft 已於 8 月 下旬採取聯合行動,全面撤銷了 Drift 應用的所有存取與更新權杖,並將該應用從其官方市集 AppExchange 緊急下架,以阻斷攻擊路徑。雲端資料倉儲業者 Snowflake 特別澄清,其自身平台並未遭到入侵。部分客戶的資料外洩,是因為攻擊者利用從 Salesforce 中竊得的客戶端憑證,進而存取了這些客戶位於 Snowflake 上的資料。
這次災情擴大後,目前所有受影響的公司都有展開內部調查,並開始通知可能受影響的客戶。同時,也對可能外洩的憑證進行了全面的盤點與更換。
CyberQ 觀點 : 面對 AI 時代企業更須堅守與強化資安策略
在更早之前,從 2025 年 6 月 Google 揭露這類攻擊至今,已經有不少企業陸續被影響。這系列駭客們的相關攻擊,是針對入侵 Salesforce 的用戶並下載資料,而攻擊手法涵蓋了各種釣魚手法,欺騙目標公司的員工把惡意 OAuth 應用程式連結到用戶的 Salesforce 平台環境,這樣一來,就能竊取該企業的資料庫,駭客再透過電子郵件去勒索受害企業。截至目前為止,已經包括多家大廠受害,如知名的愛迪達(Adidas)、安聯 (Allianz Life)、澳洲航空 (Qantas)、LV、Dior、Tiffany & Co. 等大型公司,甚至連科技大廠 Google、思科(Cisco) 等也有受影響。
為應對此類威脅,以及更多透過供應鏈攻擊、 AI 挖漏洞與建立駭客工具等行為,各家公司應重新審視自身的資安策略,在授權任何第三方應用存取核心系統前,應對其安全性進行嚴格評估,並遵循「最小權限原則」,僅授予其絕對必要的存取範圍,並強化憑證管理,避免在 CRM 等系統中以明文儲存任何形式的密碼、API 金鑰或存取權杖。
應採用專門的憑證管理工具進行集中且加密的儲存。另一方面,當我們持續監控與進行日誌分析時,需要對 Salesforce 等關鍵平台的 API 存取日誌與事件監控應保持高度警惕,才能及時發現異常的查詢行為或大規模的資料匯出活動。
在數位轉型與雲端化的浪潮下,供應鏈的安全性已成為企業整體資安韌性的關鍵一環。企業必須將對合作夥伴、供應鏈相關的資訊安全要求,提升到與內部管控同等級的規範與措施。
延伸閱讀 :
- 針對此相關事件,部分大廠企業發布的影響公告 :
- Cloudflare
- Google Workspace
- PagerDuty
- Palo Alto Networks
- SpyCloud
- Tanium
- Zscaler
