Van maart tot en met juni 2025 kon een cyberaanvaller rondneuzen in het GitHub-account van Salesloft. Hierbij werden tokens buitgemaakt die Drift, het salesplatform van Salesloft, koppelen aan Salesforce-omgevingen. Grote bedrijven bleken deze zomer hierdoor de dupe van datalek na datalek.
Als indringer in het GitHub-account van Salesloft kon de aanvaller, bekend inhoud van verschillende repositories downloaden, een gastgebruiker toevoegen en workflows instellen. Na een verkenningsfase van twee maanden slaagde de kwaadwillende erin om de AWS-omgeving van Salesloft Drift te infiltreren. Via deze laterale beweging werd de buit aanzienlijk, want men bemachtigde OAuth-tokens voor klantbedrijven van Drift.
Grote vissen gevangen
Dankzij de Drift-integraties kwam de aanvaller terecht bij honderden bedrijven. Een greep uit de getroffen partijen: Cloudflare, Zscaler, Palo Alto Networks, CyberArk, Rubrik, Nutanix, Ericsson en JFrog. De echte gevolgen moeten nog blijken, want bij elk bedrijf was de daadwerkelijke impact verschillend.
Daar waar bij Zscaler de gebruikelijke CRM- en header-velden gestolen waren, waren dit bij Cloudflare de records binnen Salesforce Cases. Klanten mogen zelf bepalen wat daar in staat als extra informatie, dus de specifieke waarde van de buit verschilt. Bij Google waren e-mails in bepaalde Workspace-accounts te lezen. Echter gold dit alleen voor accounts die met Salesloft Drift verbonden waren. JFrog kende een minimale impact: enkel de integraties met Salesforce en Drift werden afgesloten.
Waarschuwingen blijven
Inmiddels is Salesloft weer verbonden met Salesforce (sinds 7 september). Hoewel beide applicaties afzonderlijk functioneerden, was de gezamenlijke functionaliteit op 28 augustus stopgezet. Drift werd op 20 augustus verwijderd uit AppExchange en is nog altijd afwezig.
Lees ook: De vele slachtoffers van Salesforce-aanvaller ShinyHunters