近期，Salesloft 的 OAuth 漏洞导致了一起涉及 Salesforce 的大规模数据泄露事件，引发了行业内相关安全问题的广泛关注。根据 Google Threat Intelligence Group (GTIG) 的报告，自2025年8月8日至至少8月18日，黑客团体 UNC6395 通过侵入 Salesloft Drift 应用程序的 OAuth 令牌，系统性地从多家公司的 Salesforce 实例中导出了大量数据。

调查显示，黑客利用这些 OAuth 令牌的首要意图是“窃取凭据”。在数据外泄后，黑客对这些信息进行筛查，试图寻找可能被用以进一步侵入受害者环境的秘密信息。GTIG 观察到 UNC6395 通过此手段攻击了包括 Amazon Web Services (AWS) 访问密钥、用户密码及与 Snowflake 相关的访问令牌等敏感凭据。

在此事件的调查中，GTIG 确认黑客不仅攻陷了 Salesloft Dwift 的 Salesforce 集成，同时也扩展至未明确链接到尚未公布的其他集成。为了保护客户，Salesloft 与 Salesforce 迅速合作，于2025年8月20日撤销了所有与 Drift 应用程序相关的活动访问和刷新令牌，并异步意图停用 Drift 应用程序，直到进一步调查完成。

针对可能受到影响的 Google Workspace 用户，GTIG 提供了终止 OAuth 令牌授权的建议，并建议所有的 Salesloft Drift 客户应将存储或连接于 Drift 平台的所有身份验证令牌视为可能被妥协。 Salesloft 还与 Mandiant 合作以协助调查此事件，并及时向受影响的组织发布了通知。

Salesloft 表示，未与 Salesforce 集成的客户不在此次活动影响范围内，然而，使用 Salesloft Drift 集成第三方平台的公司应当迅速对其数据进行调查和处理。GTIG 强烈建议相关企业采取立刻补救措施，例如撤销和旋转 API 密钥，查看所有连接系统以查索是否存在未授权访问的迹象。

在此事件中，黑客使用了特定的查询命令来获取 Salesforce 中有关 Cases、Accounts、Users 和 Opportunities 等对象的信息。这一行为表明，黑客对 Salesforce 平台的安全防护措施具备清晰的认识，并通过删除查询作业来掩盖其行踪。尽管如此，黑客的不当行为并未影响到组织的日志记录，企业仍需审查相关日志以查找数据泄露的蛛丝马迹。

为维护信息安全，针对此次泄露事件，GTIG 团队建议所有受影响的组织进行全面的调查，包括查看在集成平台中是否存在敏感信息和秘密内容，并采取相应行动，比如撤销和轮换凭据。此外，企业应检查与 Drift 实例关联的所有第三方整合，撤销任何发现的密钥或秘密，重置相关用户账户的密码。

鉴于 Salesloft Drift 与 terceiros 接口的潜在风险，GTIG 还特别强调要检查所有与 Drift 实例间的连接，审查 Salesforce Event Monitoring 日志和相关活动，确保企业的安全防护措施能够及时响应潜在的威胁。

对于更广泛的行业而言，此次事件标志着对第三方应用集成所带来的风险的重新评估。随着企业越来越依赖于这些工具来提升工作效率，维护信息安全和保护用户数据的任务变得越发艰巨。未来，行业内需进一步加强对应用集成的监测及审计，以防止类似事件的再次发生。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！