Salesforce因Salesloft数据泄露面临集体诉讼

Salesforce在遭遇导致客户数据暴露的网络攻击后，正面临一系列诉讼。这些诉讼均在过去五周内于Salesforce总部所在地北加州提交，指控这家SaaS CRM供应商在安全方面存在不足。许多旨在达成集体诉讼的投诉声称，攻击中被盗的申诉人个人信息使他们成为身份盗窃的目标。

Salesforce否认安全漏洞是其系统缺陷所致。在公开声明中，该公司表示其平台并未被攻破。

从5月到夏季，一系列与Salesforce相关的漏洞事件曝光，攻击者从第三方Salesloft Drift应用中窃取了OAuth令牌。谷歌威胁情报组随后确认了这些攻击。

《The Register》查阅了15份针对Salesforce及其用户的案件文件，包括提起集体诉讼的个案。例如，由Staci Johnson主导的诉讼[PDF]指控Salesforce未能妥善保护其在2025年7月数据泄露事件中的个人可识别信息（PII）。该诉讼要求Salesforce"披露被泄露信息的性质，并采取足够的安全实践和保障措施以防止未来事件发生"。

诉讼称此次泄露是Salesforce"未能实施保护个人PII所需的充分合理网络安全程序和协议"的"直接结果"。攻击受害者"现在必须密切监控其金融账户和信用报告以防身份盗窃和欺诈"，而部分受害者"因数据泄露直接遭受了众多实际和具体损害"。Johnson还寻求赔偿和强制令救济以改进Salesforce的系统安全。

多份文件提到共同被告包括Salesforce客户TransUnion、Allianz Life Insurance、Farmers Insurance、Workday和Pandora Jewelry。

8月，消费者信用报告公司TransUnion表示遭遇影响近450万人的数据泄露，但未说明是否与Salesforce技术相关。类似地，Farmers Insurance称在第三方供应商遭攻击后，百万客户个人数据被泄露，但未点名CRM供应商。

Johnson诉讼文件指控，2025年7月未经授权的第三方通过首先入侵第三方销售互动平台Salesloft的GitHub获得了Salesforce系统访问权。“Salesloft的Drift平台是与Salesforce集成的工具。对Salesloft GitHub的入侵导致Drift OAuth令牌被盗，随后被用于访问Salesforce数据。”

当时Salesloft表示：“初步调查显示攻击者的主要目标是窃取凭证，特别是关注敏感信息如AWS访问密钥、密码和Snowflake相关访问令牌。”

我们已联系Salesforce寻求评论，若收到回复将更新本文。在早先向媒体的声明中，该公司表示Salesforce信任页面描述了企业可采取的保护客户数据措施，但否认其技术在此次攻击中被攻破。