Hackers stelen Salesforce-data via Salesloft-integratie

In dit artikel:

Hackers hebben tussen 8 en 18 augustus 2025 een datadiefstal uitgevoerd via het sales-automationplatform Salesloft door misbruik te maken van de Drift-integratie met Salesforce. De aanvallers wisten OAuth- en refresh-tokens buit te maken, waarmee ze toegang kregen tot klantomgevingen; alleen organisaties die de Drift–Salesforce koppeling gebruikten zouden getroffen zijn. Salesloft heeft uit voorzorg alle actieve tokens ingetrokken; beheerders moeten de integratie opnieuw autoriseren.

Onderzoek van Google Threat Intelligence (voorheen Mandiant) wijst op de betrokkenheid van een actor die zij volgen als UNC6395. Met de verkregen toegang voerden de aanvallers SOQL-queries uit om gevoelige gegevens uit Salesforce-objecten te halen, waaronder AWS-access keys, wachtwoorden en Snowflake-gerelateerde tokens. Ze doorzochten onder meer supportcases naar secrets en verwijderden query jobs om detectie te bemoeilijken; logbestanden bleven echter bestaan.

Voor hun infrastructuur maakten de aanvallers gebruik van Tor en diensten als AWS en DigitalOcean. Naast door Salesloft genoemde user-agents werd ook Salesforce-CLI/1.0 als hulpmiddel geïdentificeerd. Google raadt getroffen organisaties aan hun Salesforce-logs te doorzoeken op patronen zoals AKIA (AWS-keys), verwijzingen naar Snowflake, algemene termen als password/secret/key en URL’s van organisatie‑specifieke VPN/SSO-logins, en daarnaast credentials te resetten en te roteren.

Er ontstond verwarring rond toewijzing: de cybergroep ShinyHunters claimde aanvankelijk de actie maar trok die claim later in; Google ziet op dit moment geen bewijs voor ShinyHunters of het verwante Scattered Spider. De Salesloft-incident past in een bredere trend in 2025 waarbij Salesforce-omgevingen vaker worden misbruikt — soms via social engineering of vishing om kwaadwillende OAuth-apps te koppelen — met bekende slachtoffers als Google, Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life en LVMH‑merken.