SecurityAffairs rapporte que Zscaler a été impacté par la campagne de vol de jetons OAuth liée à Salesloft Drift, utilisée pour accéder à des instances Salesforce, sans compromission de ses produits ou de son infrastructure.
• L’éditeur indique que des acteurs non autorisés ont obtenu des identifiants Drift permettant une visibilité limitée sur certaines données Salesforce de Zscaler. Les informations exposées comprennent des coordonnées professionnelles (noms, emails, titres, numéros, régions), des informations commerciales et de licences Zscaler, ainsi que du contenu de certains tickets de support. Zscaler a révoqué l’accès Drift à Salesforce, tourné les jetons API, lancé une enquête conjointe avec Salesforce, ajouté des garde-fous, revérifié ses tiers et renforcé l’authentification du support client. Aucune preuve d’abus des données n’a été trouvée à ce stade.
• Google Threat Intelligence Group (GTIG) et Mandiant signalent que la compromission dépasse l’intégration Salesforce : tous les jetons d’authentification liés à Drift doivent être considérés comme potentiellement compromis. GTIG précise que le 28 août 2025, l’acteur avait aussi compromis des jetons pour l’intégration Drift Email, et que le 9 août 2025 des jetons volés ont servi à accéder aux emails d’un très petit nombre de comptes Google Workspace spécifiquement intégrés avec Salesloft. Google a notifié les utilisateurs impactés, révoqué les jetons Drift Email, désactivé l’intégration Workspace et appelé à la revue des intégrations et à la rotation des identifiants.
• Selon GTIG/Mandiant, l’acteur UNC6395 a systématiquement exfiltré des données Salesforce entre le 8 et le 18 août 2025 via les jetons OAuth Drift, afin de collecter des identifiants sensibles (dont des clés d’accès AWS (AKIA) et des jetons Snowflake), tout en supprimant des jobs de requête pour masquer ses traces. Salesloft a indiqué que des identifiants OAuth de l’app Drift ont servi à exfiltrer des objets Salesforce (Cases, Accounts, Users, Opportunities), a révoqué toutes les connexions Drift–Salesforce le 20 août 2025, conseillé de ré-authentifier l’intégration, et affirmé que les clients n’utilisant pas l’intégration Drift–Salesforce ne sont pas affectés. Salesforce mentionne qu’un petit nombre de clients a été touché suite à une connexion applicative compromise, a révoqué les jetons, retiré Drift de l’AppExchange et notifié les clients concernés.
• TTPs observés 🛠️
- Vol et abus de jetons OAuth/refresh (Drift, Drift Email) pour accéder à des données cloud (Salesforce, Google Workspace)
- Exfiltration de données depuis des instances Salesforce à grande échelle (8–18 août 2025)
- Recherche de secrets dans les données exfiltrées (clés AWS AKIA, tokens Snowflake, mots de passe)
- Effacement de traces via suppression de jobs de requête pour l’évasion de détection
- Compromission de la chaîne d’approvisionnement via une application tierce intégrée (Salesloft Drift)
Il s’agit d’un article de presse spécialisé visant à relayer les éléments clés de l’incident, les confirmations des éditeurs concernés et l’étendue de la campagne.
🔗 Source originale : https://securityaffairs.com/181801/data-breach/supply-chain-attack-hits-zscaler-via-salesloft-drift-leaking-customer-info.html