Source: Help Net Security (Zeljka Zorz), article du 2 septembre 2025. Contexte: la plateforme Salesloft (et son agent IA Drift) a subi une compromission d’intégrations OAuth, avec des impacts en chaîne sur Salesforce et Google Workspace.
— Ce qui s’est passé
- Des attaquants ont utilisé des jetons OAuth compromis pour l’intégration Drift–Salesforce entre le 8 et le 18 août 2025 afin d’exfiltrer des données de certaines instances clients Salesforce.
- Le 28 août, le Google Threat Intelligence Group (GTIG) a confirmé la compromission de jetons OAuth pour l’intégration “Drift Email”. Le 9 août, un acteur a utilisé ces jetons pour accéder aux emails d’un très petit nombre de comptes Google Workspace.
— Impact et cibles
- Sont concernés notamment Zscaler, Palo Alto Networks, PagerDuty, Tanium et SpyCloud, parmi 700+ entreprises impactées.
- L’accès observé serait limité aux bases Salesforce (pas aux autres systèmes), mais les données clients dérobées peuvent alimenter des campagnes de phishing et d’ingénierie sociale.
- Selon le GTIG, les attaquants recherchaient surtout des clés d’accès AWS, des mots de passe et des jetons liés à Snowflake, susceptibles d’être réutilisés.
- Des chercheurs d’Astrix Security confirment l’exfiltration d’emails via l’app OAuth Drift Email et, dans au moins un cas, une tentative d’accès à des buckets S3 dont les noms proviennent vraisemblablement d’environnements Salesforce compromis. WideField a observé des journaux suspects dans plusieurs environnements clients (Salesforce et Gmail). Un visuel mentionne « How UNC6395 accessed emails » (source: WideField).
— Réponse et mesures prises
- Salesloft a mobilisé Mandiant (Google) et Coalition pour l’enquête et la remédiation.
- Recommandation Salesloft (27 août) : pour les clients Drift qui gèrent leurs connexions à des applications tierces via clés API, révoquer les clés existantes et reconnecter avec de nouvelles (ne concerne que les intégrations basées sur clé API ; les apps OAuth sont gérées par Salesloft).
- Salesforce a désactivé par précaution tous les liens entre Salesforce et Salesloft (y compris l’app Drift) le temps de l’évaluation.
- Google a désactivé l’intégration entre Google Workspace et Salesloft Drift, et conseille d’auditer les intégrations tierces reliées à Drift, de révoquer/rotater les identifiants et d’enquêter sur tout accès non autorisé.
- Mandiant fournit des conseils détaillés pour la chasse aux compromissions et la détection de secrets/identifiants exposés. Astrix publie des indicateurs et activités AWS à surveiller. WideField diffuse des guides d’investigation.
— TTPs et IOCs
- TTPs observés/signalés :
- Compromission et abus de jetons OAuth (Drift–Salesforce, Drift Email–Google Workspace)
- Exfiltration de données Salesforce et d’emails Gmail
- Recherche de secrets (clés AWS, mots de passe, jetons Snowflake)
- Tentatives d’accès à des buckets S3 identifiés via des métadonnées Salesforce
- Exploration/anomalies dans les journaux Salesforce et Gmail
- IOCs mentionnés : des indicateurs et détails ont été partagés par Astrix Security, WideField et Mandiant (non listés dans l’article).
— Nature de l’article Article de presse spécialisé résumant une compromission d’intégrations OAuth chez Salesloft, ses impacts multi-plateformes et les mesures de réponse/atténuation annoncées.
🔗 Source originale : https://www.helpnetsecurity.com/2025/09/02/zscaler-palo-alto-networks-spycloud-among-the-affected-by-salesloft-breach/