Source: Salesloft Trust Portal — Mises à jour des 7, 11 et 13 septembre 2025. Salesloft détaille l’incident affectant Drift, confirme la poursuite de l’enquête et de la remédiation, et maintient l’application Drift hors ligne. Les clients sont priés de considérer toutes les intégrations Drift et les données associées comme potentiellement compromises. Parallèlement, l’intégration entre la plateforme Salesloft et Salesforce a été rétablie.
Ce qui s’est passé (constats Mandiant au 6 sept. 2025) :
- Entre mars et juin 2025, le/des acteur(s) ont accédé au compte GitHub de Salesloft, téléchargé des contenus de plusieurs dépôts, ajouté un utilisateur invité et mis en place des workflows.
- Des activités de reconnaissance ont été observées dans les environnements applicatifs de Salesloft et Drift; l’analyse n’a trouvé, côté Salesloft app, pas d’éléments au-delà d’une reconnaissance limitée.
- L’acteur a ensuite accédé à l’environnement AWS de Drift et obtenu des jetons OAuth liés aux intégrations technologiques des clients Drift, puis utilisé ces jetons pour accéder à des données via les intégrations Drift.
Réponse et remédiation (validées par Mandiant) :
- Isolement et mise hors ligne de l’application Drift; rotation des identifiants affectés; renforcement des configurations de sécurité.
- Mise en place de nouveaux processus MFA, durcissement GitHub, remédiation des secrets, et analyses continues des journaux et configurations.
- Côté Salesloft, rotation d’identifiants, threat hunting proactif sans IOCs supplémentaires trouvés, et durcissement contre les méthodes connues de l’attaquant.
- Mandiant a vérifié la segmentation technique entre Salesloft et Drift; les constats étayent la containment de l’incident, l’engagement passant en revue d’assurance qualité forensique.
Statut et chronologie clés :
- 28 août 2025 : Mandiant engagé sur Drift et, ensuite, sur l’environnement Salesloft.
- 6 sept. 2025 : première mise à jour d’enquête et de remédiation.
- 7 sept. 2025 : intégration Salesforce/Salesloft restaurée; assistance prévue pour la reconsolidation et la resynchronisation des données/activités (guide disponible).
- 11 sept. 2025 : Drift reste temporairement hors ligne, ETA à venir.
- 13 sept. 2025 : poursuite du durcissement, rotation de credentials, tests pouvant générer des notifications automatiques Drift à ignorer; Drift demeure inaccessible jusqu’à nouvel ordre.
TTPs observés (extraits) :
- Accès initial à un compte GitHub d’entreprise; téléchargement de dépôts, ajout d’utilisateur invité, workflows malveillants.
- Reconnaissance dans les environnements applicatifs.
- Accès à l’infrastructure cloud (AWS) de Drift; vol de jetons OAuth.
- Abus de jetons OAuth pour accéder à des données via des intégrations. 🔐
Type d’article: rapport d’incident et mises à jour de statut visant à informer sur les causes, la portée, les mesures de confinement/remédiation et l’état de restauration du service.
🔗 Source originale : https://trust.salesloft.com/?uid=Update+on+Mandiant+Drift+and+Salesloft+Application+Investigations