В последнее время мир безопасности технологий столкнулся с серьезной угрозой, связанной с массовым похищением данных из интеграционных решений, используемых в бизнес-среде. Одним из таких вызовов стала масштабная кампания атак, нацеленная на SOAP-запросы и OAuth-токены в интеграции Salesloft Drift с корпоративными инстанциями Salesforce. Данная угроза охватывает не только экосистему Salesforce, но и расширяется на интеграции с другими сервисами, включая Google Workspace, что вызывает серьезные опасения среди корпоративных пользователей и администраторов ИТ-инфраструктуры. Киберпреступная группа, известная под обозначением UNC6395, начала активные действия еще в начале августа 2025 года, целенаправленно используя уязвимости в OAuth-механизме авторизации, чтобы получить доступ к объемным массивам данных, хранящимся в системах клиентов. Злоумышленники применили сложные методы сбора данных, включая отправку SQL-подобных SOQL-запросов к объектам Salesforce для экспорта демографической и учетной информации, записей о сделках и кейсах, а также доступа к конфиденциальным учетным данным.
После получения этих данных, атакующие искали в них более ценные секреты, такие как ключи доступа AWS, пароли и токены Snowflake, что свидетельствует о продуманной и многослойной стратегии эксплуатации данных с целью дальнейшего проникновения и похищения ресурсов. Параллельно с атакой на Salesforce были зафиксированы попытки использования скомпрометированных OAuth-токенов для доступа к ограниченному числу аккаунтов Google Workspace, интегрированных через Salesloft Drift. Однако Google официально подтвердил отсутствие нарушений в своей основной инфраструктуре и подчеркнул, что атаки затронули только те почтовые аккаунты, которые были специально связаны с уязвимыми интеграциями. На данный момент обеспечено оперативное реагирование - отозваны и заблокированы все соответствующие токены, временно приостановлена функциональность интеграций между Google Workspace и Salesloft Drift, а также информированы соответствующие корпоративные администраторы о потенциальных рисках. Для компаний, использующих Salesloft Drift, ситуация представляет собой значительный вызов.
Эксперты рекомендуют незамедлительно пересмотреть все интеграционные подключения внутри Drift, провести ревизию и ротацию всех используемых ключей доступа и токенов, а также тщательно проинспектировать все связанные сервисы на предмет признаков несанкционированного доступа и возможных следов компрометации. Также крайне важно активировать меры по усилению контроля и разграничению доступа в рамках платформ Salesforce и Google Workspace. Следует учитывать необходимость ограничения прав приложений, используемых в интеграциях, а также настройку IP-ограничений и более строгие политики сессий для минимизации рисков. В ходе расследования, в котором активно участвовала компания Mandiant по приглашению Salesloft, удалось выявить некоторые характерные признаки атаки, включая необычные строки User-Agent, ассоциируемые с вредоносными скриптами и автоматизированными инструментами. Не менее важной рекомендацией является использование продвинутых утилит для поиска утечек учетных данных и секретов, таких как Trufflehog, которые способны эффективно анализировать репозитории и базы данных на наличие скрытых ключей и паролей.
Серьезность данной кампании подчеркивает непосредственную необходимость повышения осведомленности в вопросах безопасности среди специалистов и руководителей компаний, работающих с облачными сервисами и интеграционными платформами. Необходимо поддерживать регулярный аудит разрешений, проводить обучение пользователей и развивать культуру ответственности в работе с конфиденциальной информацией. Данная атака служит ярким примером того, как современные киберугрозы все чаще используют цепочки доверительных интеграций и OAuth-механизмы для обхода традиционных средств защиты. Поскольку такие платформы сегодня являются неотъемлемой частью бизнес-процессов, масштаб и потенциальный ущерб подобных компрометаций значительно увеличиваются. В результате, ключевым моментом становится не только своевременное выявление инцидентов, но и превентивные меры: ограничение полномочий приложений, использование многофакторной аутентификации, постоянный мониторинг активности и внедрение принципов минимальных привилегий.
Коммуникация между поставщиками услуг, интеграционными платформами и конечными пользователями тоже играет решающую роль в своевременном реагировании на такие угрозы и их корректном разграничении. В итоге, данный случай демонстрирует важность совместных усилий по обеспечению безопасности цифровых экосистем и необходимость развития современных технологий и процессов для защиты данных. Для организаций, использующих Salesforce и Salesloft Drift, акцент на контроле доступа и регулярном обновлении систем безопасности должен стать приоритетом. Только таким образом можно минимизировать риски, связанные с распространением вредоносной активности и сохранить доверие партнеров и клиентов. Усилия по ликвидации последствий данной кампании и профилактике будущих инцидентов продолжаются, а специалисты рекомендуют не откладывать внедрение рекомендаций и постоянно отслеживать обновления и новости от надзорных и партнерских организаций.
.
![Elon Musk Promises Full Self-Driving "Next Year" [2014-2024]](/images/C6BD258E-F3E5-478A-B98E-802A1B0EE6FF)
