Selon KrebsOnSecurity, une compromission majeure de la plateforme de chatbot IA Drift (Salesloft) a conduit au vol de jetons d’authentification utilisés par des centaines d’intégrations tierces, facilitant une vaste campagne d’exfiltration menée par l’acteur UNC6395.

• Impact et portée: des jetons permettant l’accès à Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure et OpenAI ont été dérobés. Les organisations utilisant les intégrations Salesloft sont appelées à invalider immédiatement tous les jetons stockés et à partir du principe que leurs données sont compromises. L’incident met en lumière le risque d’‘authorization sprawl’, où des jetons légitimes permettent de circuler sans entraves entre systèmes cloud.

• Détails techniques: UNC6395 a exploité des jetons d’authentification volés depuis Drift pour accéder aux services tiers intégrés. Les opérations d’exfiltration ont ciblé des instances Salesforce d’entreprises, les attaquants fouillant les données volées pour récupérer d’autres identifiants (dont clés AWS, identifiants VPN, jetons Snowflake), renforçant leur capacité de mouvement et de collecte.

• Mesures observées: en mesure de protection, Google a bloqué les intégrations Drift avec Salesforce, Slack et Pardot.

TTPs observées:

  • Vol et abus de jetons d’accès légitimes (OAuth/équivalents)
  • Exfiltration de données à grande échelle depuis des instances Salesforce
  • Recherche et collecte d’informations d’identification supplémentaires dans les données volées (clés AWS, VPN, jetons Snowflake)
  • Mouvement latéral multi-cloud via des intégrations tierces et exploitation de l’‘authorization sprawl’

Type d’article: analyse de menace visant à exposer la campagne d’exfiltration et l’abus de jetons au travers d’intégrations cloud/tiers.

🧠 TTPs et IOCs détectés

TTPs

[“Vol et abus de jetons d’accès légitimes (OAuth/équivalents)”, ‘Exfiltration de données à grande échelle depuis des instances Salesforce’, ‘Recherche et collecte d’informations d’identification supplémentaires dans les données volées (clés AWS, VPN, jetons Snowflake)’, ‘Mouvement latéral multi-cloud via des intégrations tierces et exploitation de l’‘authorization sprawl’’]

IOCs

Non spécifié dans l’analyse fournie

🔗 Source originale : https://krebsonsecurity.com/2025/09/the-ongoing-fallout-from-a-breach-at-ai-chatbot-maker-salesloft/