Hoe een Salesloft-fout leidde tot een wildgroei aan datalekken

In dit artikel:

Tussen maart en juni 2025 kon een aanvaller in het GitHub-account van Salesloft rondsnuffelen en daarbij tokens buitmaken die het salesplatform Drift koppelen aan Salesforce-omgevingen. De indringer kon repository‑data downloaden, een gastgebruiker toevoegen en workflows instellen; na ongeveer twee maanden verkenning werd via laterale beweging ook de AWS-omgeving van Salesloft Drift binnengedrongen en werden OAuth-tokens van klantbedrijven gestolen. Door die Drift-integraties raakten honderden organisaties getroffen, waaronder Cloudflare, Zscaler, Palo Alto Networks, CyberArk, Rubrik, Nutanix, Ericsson en JFrog, maar de precieze impact verschilde per bedrijf: bij Zscaler gingen CRM- en header‑velden verloren, bij Cloudflare betroffen het Salesforce Cases-records en bij Google konden e-mails van met Drift verbonden Workspace‑accounts worden gelezen; JFrog ondervond slechts beperkte gevolgen. Salesloft en Salesforce functioneerden los van elkaar nadat de gezamenlijke koppeling op 28 augustus stilviel; Drift werd op 20 augustus uit AppExchange gehaald en staat nog niet terug, terwijl Salesloft sinds 7 september weer met Salesforce is verbonden. Omdat OAuth‑tokens toegang tot klantomgevingen geven, blijft het incident waarschuwingen oproepen over tokenbeheer, rotatie en het beperken van repository‑toegang om soortgelijke ketenaanvallen te voorkomen.