2025年8月发生的Salesloft Drift数据泄露事件堪称SaaS史上最严重的供应链攻击之一,展示了单一受损集成如何引发大规模组织数据暴露。威胁组织UNC6395通过利用OAuth令牌漏洞,获取了包括Cloudflare、Palo Alto Networks和Zscaler等700多家企业的敏感数据。该事件揭示了第三方应用安全的关键弱点,为企业提升网络韧性提供了宝贵经验。
初始入侵:GitHub账户失陷
攻击时间线显示,UNC6395早在事件公开前数月就开始了系统性入侵。据Mandiant调查,该组织于2025年3月首次获取Salesloft的GitHub账户访问权限,并持续控制至2025年6月。这一长达三个月的初始入侵暴露出严重的安全监测失效。
在此期间,攻击者对Salesloft和Drift应用环境进行了全面侦察:系统下载多个代码库内容、添加访客用户、建立便于后续大规模数据外泄的工作流程。这种长期潜伏使攻击者能深入了解目标环境并识别最有价值的攻击路径。
GitHub入侵事件凸显了现代软件开发中的基础性安全挑战——代码仓库和开发基础设施的保护。Salesloft尚未披露初始入侵的具体方式,这种透明度缺失遭到安全分析师的批评,他们强调了解根本原因对有效补救至关重要。
Drift平台利用与OAuth令牌窃取
完成侦察后,攻击者转向利用Drift的亚马逊云服务(AWS)环境,成功获取Drift客户技术集成的OAuth令牌。这一供应链漏洞导致数百家企业遭受连锁攻击。
OAuth令牌作为数字密钥,允许应用无需密码验证即可跨平台访问用户数据。在Drift案例中,这些令牌使聊天机器人平台能与Salesforce、Google Workspace等业务系统集成。通过窃取令牌,UNC6395获得了同等信任权限,绕过了传统安全控制。
攻击者展现了对云基础设施和令牌管理系统的深刻理解,这种技术复杂度是高级持续性威胁(APT)组织的典型特征。2025年8月8日至18日期间,UNC6395针对通过Drift集成的Salesforce实例发起系统性数据外泄攻击,主要目标是凭证收集而非即时数据变现。攻击者从外泄数据中系统搜索以下高价值凭证:
亚马逊云服务(AWS)访问密钥(AKIA格式)
Snowflake相关访问令牌
VPN凭证和配置信息
通用密码和认证字符串
API密钥和服务账户凭证
这种凭证收集策略旨在为后续攻击和横向移动创造条件,使攻击者能长期访问远超Salesforce初始入侵范围的云基础设施和关键业务系统。
