Google warnt: Salesloft-OAuth-Angriff betrifft weit mehr als Salesforce : Angriff auf Drift-Integration gefährdet sämtliche angebundene Systeme
Der jüngste Angriff auf Salesforce-Instanzen über Salesloft Drift stellt sich als weitaus umfassender heraus, als zunächst angenommen. Nach Angaben von Google betrifft die Kompromittierung nicht nur Salesforce, sondern sämtliche über Drift angebundenen Integrationen – mit potenziell gravierenden Folgen für Unternehmen.
Google hat in einer aktualisierten Sicherheitswarnung offengelegt, dass die Angriffe auf Salesloft Drift eine deutlich größere Reichweite haben. Betroffen sind nicht nur Salesforce-Anbindungen, sondern alle Integrationen, die über Drift laufen. Laut Google Threat Intelligence Group (GTIG) und Mandiant sollten Unternehmen sämtliche in Drift gespeicherten oder damit verbundenen Authentifizierungs-Token als potenziell kompromittiert betrachten.
Zugriff auf Google-Workspace-Konten
Besonders brisant: Am 9. August 2025 nutzten Angreifer gestohlene OAuth-Token, um auf E-Mail-Konten in Google Workspace zuzugreifen, die mit der Integration „Drift Email“ verbunden waren. Dabei handelt es sich nach Angaben von Google nicht um eine Kompromittierung der gesamten Plattform, sondern ausschließlich um jene Konten, die explizit mit Salesloft Drift verknüpft waren. Andere Bereiche der Workspace-Domains seien nicht betroffenen gewesen.
Sofortmaßnahmen von Google
Nach Entdeckung des Angriffs hat Google betroffene Nutzer informiert, kompromittierte OAuth-Token zurückgezogen und die Drift-Integration mit Workspace deaktiviert. Unternehmen wurden zudem aufgefordert, sämtliche Drittanbieter-Integrationen in Drift zu überprüfen, Anmeldedaten zurückzuziehen und zu erneuern sowie ihre Systeme auf unbefugte Zugriffe zu kontrollieren.
Die Enthüllung folgt kurz auf die Analyse einer breit angelegten Datendiebstahlkampagne, die Google einem neu aufgetretenen Bedrohungsakteur zuordnet, der als UNC6395 bezeichnet wird. Zwischen dem 8. und 18. August 2025 nutzte die Gruppe kompromittierte OAuth-Token, um gezielt Salesforce-Instanzen über Salesloft Drift anzugreifen.
Reaktionen von Salesloft und Salesforce
alesloft erklärte indes, dass Salesforce nach Bekanntwerden der Vorfälle zunächst nur die Drift-Integration mit den Anwendungen Salesforce, Slack und Pardot deaktiviert habe. Diese Maßnahme sollte verhindern, dass Angreifer über die kompromittierten OAuth-Token weiteren Zugriff auf zentrale Geschäftsdaten erlangen. Wenige Stunden später habe Salesforce den Schutz noch einmal ausgeweitet und sämtliche Salesloft-Integrationen mit Salesforce vorübergehend abgeschaltet.
Gleichzeitig versicherte Salesloft, dass es nach aktuellem Stand keine Anzeichen für bösartige Aktivitäten innerhalb der Integrationen gebe. Auch habe die Untersuchung bislang keine Hinweise ergeben, dass die Salesloft-Integrationen selbst kompromittiert oder grundsätzlich gefährdet seien. Vielmehr handele es sich um eine Vorsichtsmaßnahme, um die Angriffsfläche zu reduzieren und die Sicherheit der Kundensysteme zu gewährleisten.
Handlungsempfehlungen für Unternehmen
Unternehmen, die Salesloft Drift einsetzen, sollten kurzfristig die folgenden Schritte prüfen:
- Überprüfung sämtlicher Drittanbieter-Integrationen
- Widerruf und Rotation aller Anmeldedaten
- Forensische Analyse verbundener Systeme auf unbefugte Zugriffe
Die aktuelle Entwicklung verdeutlicht erneut, wie riskant kompromittierte OAuth-Token für komplexe Cloud-Integrationen sein können. Da Angreifer auf diesem Weg weitreichenden Zugang zu geschäftskritischen Systemen erhalten, sollten Sicherheits- und IT-Teams ihre Schutzmaßnahmen konsequent überprüfen und erweitern.