Massale datadiefstal via Salesloft Drift-integraties groeit uit tot bedreiging voor alle platforms. De omvang van de recente cyberaanval op Salesloft, waarbij vooral de "Drift" AI‑agent werd uitgebuit, blijkt veel groter dan aanvankelijk werd aangenomen. Oorspronkelijk met name gericht op Salesforce-omgevingen, is duidelijk geworden dat óók Google Workspace-klanten met Drift-integraties zijn getroffen.
Google warns that mass data theft hitting Salesloft AI agent has grown biggerAssume all Salesloft credentials are compromised after Workspace breach, Google says. |
Drift-tokens gekaapt: Salesforce niet langer de enige doelwit
Aanvankelijk bleek dat aanvallers OAuth- en refresh-tokens uit Saleslofts Drift-chatintegratie met Salesforce hadden gestolen, waarmee ze toegang kregen tot Salesforce-omgevingen tussen 8 en 18 augustus 2025. Daarmee konden gevoelige gegevens – zoals AWS-sleutels, wachtwoorden en Snowflake‑tokens – buitgemaakt worden.
Salesloft breached to steal OAuth tokens for Salesforce data-theft attacksHackers breached sales automation platform Salesloft to steal OAuth and refresh tokens from its Drift chat agent integration with Salesforce to pivot to customer environments and exfiltrate data. The ShinyHunters extortion group claims responsibility for these additional Salesforce attacks. |
Onderzoek door Google Threat Intelligence (GTIG) en Mandiant wezen uit dat het bedreigingscluster, aangeduid als UNC6395, insteekt op directe winst: het doorzoeken van supportcases, accounts, gebruikersgegevens en kansen (opportunities) via SOQL‑queries om vervolgens in hogere-privilege‑wesriekeningen door te breken.
Spreidt de aanval zich verder uit: ook Workspace en andere integraties getroffen
Later bleek dat de impact breder beheerstte dan Salesforce alleen. Google waarschuwde dat de inbraak alle integraties via Salesloft Drift kan treffen en adviseerde klanten alle OAuth-tokens die via het Drift-platform zijn uitgegeven als mogelijk gecompromitteerd te beschouwen.
Google Warns Salesloft Drift Breach Impacts All Drift Integrations Beyond SalesforceGoogle expands Salesloft Drift breach scope beyond Salesforce; Salesloft says core platform safe, isolated to Drift app. |
Specifiek werd bekend dat aanvallers ook de “Drift Email”‑integratie hadden misbruikt om, op 9 augustus 2025, toegang te krijgen tot een beperkte set Google Workspace‑e-mailaccounts die gekoppeld waren aan Drift. Belangrijk: dit betekende geen brede inbraak in Google Workspace of Alphabet‑systemen.
Middelen en contra-maatregelen
Tegenmaatregelen werden snel genomen. Google en Salesloft hebben alle betreffende OAuth‑tokens ingetrokken voor zowel Salesforce- als Workspace‑integraties, en de functionaliteit van de “Drift Email”‑verbinding werd tijdelijk uitgeschakeld.
Klanten worden dringend geadviseerd om:
- alle integraties met Drift te herzien,
- toegangsgegevens (API‑sleutels, tokens) in te trekken en te vernieuwen,
- alle verbonden systemen te controleren op ongeautoriseerde toegang.
Salesloft werkt samen met Mandiant, Google Cloud Incident Response en verzekeraar Coalition aan verder onderzoek.
Salesloft Drift compromised en masse, impacting all third-party integrationsResearchers said Google Workspace customers were hit, and noted other platforms are impacted as well. Fresh evidence proves impact was not limited to Salesforce, as Salesloft previously claimed. |
Samenvattende analyse
Wat aanvankelijk leek op een aanval gericht op Salesforce via Salesloft Drift, blijkt al snel een veel omvangrijker en veelzijdiger data-diefstalcampagne:
- Tijd voor aanval: minstens 8 t/m 18 augustus 2025.
- Aanvaller: UNC6395 (volgt door GTIG en Mandiant).
- Gevolgen: OAuth-tokens van Drift-integraties met Salesforce en Google Workspace gebruikt om data te stelen (credentials, API-sleutels, e-mails).
- Impact: brede spreiding – niet alleen Salesforce, maar mogelijk alle integraties via Salesloft Drift.
- Advies: alle tokens intrekken, credentials roteren, systemen controleren.
