Salesloft Drift

Selon KrebsOnSecurity, une compromission majeure de la plateforme de chatbot IA Drift (Salesloft) a conduit au vol de jetons d’authentification utilisés par des centaines d’intégrations tierces, facilitant une vaste campagne d’exfiltration menée par l’acteur UNC6395. • Impact et portée: des jetons permettant l’accès à Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure et OpenAI ont été dérobés. Les organisations utilisant les intégrations Salesloft sont appelées à invalider immédiatement tous les jetons stockés et à partir du principe que leurs données sont compromises. L’incident met en lumière le risque d’‘authorization sprawl’, où des jetons légitimes permettent de circuler sans entraves entre systèmes cloud. ...

Source: Zscaler (zscaler.com). Zscaler indique avoir été touché par une campagne visant Salesloft Drift, un SaaS marketing intégré à Salesforce, au cours de laquelle des jetons OAuth ont été dérobés, affectant un grand nombre de clients Salesforce. Selon Zscaler, des acteurs non autorisés ont obtenu des identifiants Salesloft Drift de clients, y compris Zscaler, permettant un accès limité à certaines informations Salesforce de Zscaler. L’incident est circonscrit à Salesforce et n’implique aucun accès aux produits, services, systèmes ou infrastructures de Zscaler. Aucune preuve de mésusage des données n’a été constatée à ce stade. ...

Source: Google Cloud Blog (Mandiant/GTIG), 26 août 2025. Contexte: avis de sécurité sur une campagne de vol de données visant des instances Salesforce via l’application tierce Salesloft Drift, avec notification aux organisations impactées. Les analystes décrivent une campagne de vol et exfiltration de données menée par l’acteur suivi sous le nom UNC6395. Entre le 8 et le 18 août 2025, l’attaquant a utilisé des tokens OAuth Drift compromis pour accéder à de nombreuses instances Salesforce d’entreprises et en extraire de grands volumes de données. L’objectif principal évalué est la récolte d’identifiants et de secrets (notamment clés d’accès AWS AKIA, mots de passe et tokens liés à Snowflake). L’acteur a montré une certaine hygiène opérationnelle en supprimant des “query jobs”, sans affecter les journaux consultables. ...