【安全资讯】Salesloft遭黑客入侵，OAuth令牌被盗引发Salesforce数据窃取攻击

概要：

销售自动化平台Salesloft近期遭受黑客攻击，导致其Drift聊天代理与Salesforce集成使用的OAuth和刷新令牌被盗。此次事件不仅影响了Salesloft自身，更被黑客用作跳板攻击客户Salesforce环境，窃取敏感数据。事件凸显了第三方集成安全的重要性。

主要内容：

威胁攻击者在2025年8月8日至18日期间，通过入侵Salesloft获取了Drift OAuth和刷新令牌。这些令牌本用于Salesforce集成，允许组织同步对话、潜在客户和支持案例到CRM系统。攻击者利用这些令牌发起了一场针对Salesforce的数据窃取活动。

根据谷歌威胁情报团队的分析，攻击者被追踪为UNC6395。一旦获得Salesforce实例访问权限，他们便使用SOQL查询从支持案例中提取案例认证令牌、密码和密钥，从而进一步入侵其他平台。攻击者表现出操作安全意识，会删除查询作业以掩盖痕迹。

ShinyHunters勒索组织声称对此次攻击负责，并表示他们与被称为Scattered Spider的威胁行为体重叠。该组织采用社交工程攻击，通过语音钓鱼(vishing)诱骗员工将恶意OAuth应用链接到公司Salesforce实例。

受影响环境的管理员应立即轮换凭证，并检查Salesforce对象中可能被盗的额外密钥。Salesloft已与Salesforce合作撤销所有Drift应用的活跃访问和刷新令牌，要求客户重新进行身份验证。