Salesloft数据泄露事件持续发酵

近期，AI聊天机器人制造商Salesloft发生大规模身份验证令牌被盗事件，导致众多企业争相在被黑客利用前撤销被盗凭证。谷歌警告称，此次泄露的影响远超对Salesforce数据的访问，黑客还窃取了客户可与Salesloft集成的数百项在线服务的有效身份验证令牌，包括Slack、Google Workspace、Amazon S3、Microsoft Azure和OpenAI。

Salesloft声称其产品受到5,000多家客户的信任。公司首页展示了一些知名客户。

事件时间线

8月20日：Salesloft披露在Drift应用程序中发现安全问题，该技术为众多企业网站使用的AI聊天机器人提供支持。警报敦促客户重新验证Drift和Salesforce应用程序之间的连接以撤销现有身份验证令牌，但未表明这些令牌已被盗。

8月26日：谷歌威胁情报小组警告，追踪为UNC6395的黑客使用从Salesloft窃取的访问令牌从多个企业Salesforce实例中窃取大量数据。谷歌称数据窃取最早始于2025年8月8日，持续至至少8月18日，事件不涉及Salesforce平台漏洞。

8月28日：GTIG更新公告，承认攻击者使用被盗令牌访问了“极少数”专门配置与Salesloft集成的Google Workspace账户的电子邮件。更重要的是，它警告组织立即撤销存储在其Salesloft集成中或与之连接的所有令牌——无论涉及何种第三方服务。

同日，Salesforce阻止了Drift与其平台及其生产力平台Slack和Pardot的集成。

攻击背景与手法

Salesloft事件发生之前，存在广泛的社交工程活动，使用语音钓鱼诱骗目标将恶意应用程序连接到其组织的Salesforce门户。该活动导致包括阿迪达斯、安联人寿和澳洲航空在内的多家公司遭遇数据泄露和勒索攻击。

8月5日：谷歌披露其一个企业Salesforce实例被攻击者入侵，GTIG将其称为UNC6040。谷歌表示，勒索者一直声称是威胁组织ShinyHunters，该组织似乎准备通过启动数据泄露网站来升级其勒索攻击。

ShinyHunters是一个多变的威胁组织，以使用社交工程入侵云平台和第三方IT提供商，并向网络犯罪社区发布数十个被盗数据库而闻名。

Recorded Future的Alan Liska告诉Bleeping Computer，ShinyHunters和Scattered Spider勒索组织使用的“工具、技术和程序”重叠可能表明这两个组织之间存在一些交叉。

为了进一步混淆视听，8月28日一个Telegram频道以故意混淆的旗帜“Scattered LAPSUS$ Hunters 4.0”启动，参与者多次声称对Salesloft黑客攻击负责，但未分享任何细节证明其说法。

该Telegram群组一直试图通过威胁谷歌和其他公司的安全研究人员来吸引媒体关注。它还利用该频道的突然流行来推广一个名为“Breachstars”的新网络犯罪论坛，声称将很快托管从拒绝谈判赎金支付的受害公司窃取的数据。

“Scattered Lapsus$ Hunters 4.0”频道在Telegram上现有约40,000名订阅者。

但谷歌威胁情报小组的首席威胁分析师Austin Larsen表示，目前没有令人信服的证据将Salesloft活动归因于ShinyHunters或其他已知组织。

技术分析：授权泛滥

Counter Hack的高级技术总监Joshua Wright创造了“授权泛滥”一词，来描述像Scattered Spider和ShinyHunters这样的组织的社交工程攻击经常成功的一个关键原因：他们滥用合法的用户访问令牌在本地和云系统之间无缝移动。

Wright表示，这种类型的攻击链通常未被发现，因为攻击者坚持使用已分配给用户的资源和访问权限。

“与传统的初始访问、权限提升和端点绕过的链条不同，这些威胁参与者使用提供单点登录和集成身份验证与授权方案的集中身份平台，”Wright在2025年6月的一篇专栏中写道。“攻击者不是创建自定义恶意软件，而是使用作为授权用户已经可用的资源。”

调查进展

攻击者如何访问所有Salesloft Drift身份验证令牌的具体方式尚不清楚。Salesloft于8月27日宣布聘请谷歌云的事件响应部门Mandiant调查根本原因。

“我们正在与Salesloft Drift合作调查发生的根本原因，然后由他们发布该信息，”Mandiant咨询首席技术官Charles Carmakal告诉Cyberscoop。“明天、后天以及之后会有更多信息。”