10 дней хакер хозяйничал в вашей компании. Salesforce не заметила, а вы сами разбирайтесь, что он успел украсть

Drift Salesloft OAuth взлом аутентификация
10 дней хакер хозяйничал в вашей компании. Salesforce не заметила, а вы сами разбирайтесь, что он успел украсть
Drift Salesloft OAuth взлом аутентификация

Сколько стоит невнимательность к интеграциям.

image

Компания Drift раскрыла детали инцидента с интеграцией Salesforce. С 8 по 18 августа 2025 года неизвестный использовал OAuth-учётные данные и выгружал данные из клиентских инстансов Salesforce. По словам компании, основной целью было похищение секретов — от AWS-ключей и паролей до токенов доступа, связанных со Snowflake. Затронуты только те организации, у которых была включена связка Drift-Salesforce, для остальных риск не подтверждён.

Совместно с Salesforce были оперативно аннулированы все действующие access- и refresh-токены для приложения Drift, из-за чего администраторам потребуется заново пройти аутентификацию, чтобы восстановить работу интеграции. К расследованию подключена внешняя DFIR-команда , признаков продолжающейся злонамеренной активности на сегодняшний день компания не видит. Клиентам обещали предоставить персональные расшифровки действий злоумышленника в их окружениях.

Исследование активности показало прицельный интерес атакующего к полям, где теоретически могут оказаться секреты. В Salesforce запрашивались объекты Cases, Accounts, Users и Opportunities, причём использовались как массовые выборки для «снятия слепка» тикетов, так и точечные проверки на наличие шаблонов секретов. В качестве примеров приводятся два SOQL-запроса:

  • Для сплошного просмотра полей в заявках: «SELECT Id, Description, Subject, Comments FROM Case WHERE CreatedDate >= :x ORDER BY CreatedDate DESC NULLS FIRST LIMIT 2000».

  • Для адресного «пробивания» поля на совпадения с известными паттернами: «SELECT Id FROM Case WHERE SuppliedEmail LIKE :x LIMIT 1000».

Параметр «:x» варьировался в зависимости от цели выборки.

Для самостоятельного поиска следов вторжения опубликованы индикаторы компрометации. В HTTP-трафике обращают внимание три необычных «подписи» User-Agent — «python-requests/2.32.4», «Salesforce-Multi-Org-Fetcher/1.0» и «Python/3.11 aiohttp/3.12.15». Drift подчёркивает, что перечень IOC будет дополняться, а клиентам предоставят развёрнутые таймлайны действий злоумышленника в их инстансах.