Salesloft ha revelado que la violación de datos vinculada a su aplicación de deriva comenzó con el compromiso de su cuenta GitHub.
Mandiant, propiedad de Google, que comenzó una investigación sobre el incidente, dijo que el actor de amenaza, rastreado como UNC6395, accedió a la cuenta de Github de Salesloft desde marzo hasta junio de 2025. Hasta ahora, 22 compañías han confirmado Fueron afectados por una violación de la cadena de suministro.
«Con este acceso, el actor de amenaza pudo descargar contenido de múltiples repositorios, agregar un usuario invitado y establecer flujos de trabajo», SalesLoft dicho en un aviso actualizado.
La investigación también descubrió actividades de reconocimiento que ocurrieron entre marzo de 2025 y junio de 2025 en los entornos de aplicación de SalesLoft y Drift. Sin embargo, enfatizó que no hay evidencia de ninguna actividad más allá del reconocimiento limitado.
En la siguiente fase, los atacantes accedieron al entorno de Amazon Web Services (AWS) de Drift y obtuvieron tokens OAuth para las integraciones tecnológicas de los clientes de Drift, con los tokens OAuth robados utilizados para acceder a datos a través de integraciones de deriva.
Salesloft dijo que ha aislado la infraestructura de deriva, la aplicación y el código, y Tomado la solicitud fuera de línea A partir del 5 de septiembre de 2025, a las 6 am et. También ha girado las credenciales en el entorno SalesLoft y endureció el entorno con controles de segmentación mejorados entre las aplicaciones de SalesLoft y Drift.
«Recomendamos que todas las aplicaciones de terceros se integren con la deriva a través de la clave API, revocen proactivamente la clave existente para estas aplicaciones», » agregado.
Al 7 de septiembre de 2025 a las 5:51 pm UTC, Salesforce ha restaurado la integración con la plataforma SalesLoft después de suspenderla temporalmente el 28 de agosto. Esto se ha hecho en respuesta a medidas de seguridad y pasos de remediación implementados por SalesLoft.
«Salesforce ha vuelto a habilitar las integraciones con Salesloft Technologies, con la excepción de cualquier aplicación de deriva», Salesforce dicho. «La deriva permanecerá deshabilitada hasta nuevo aviso como parte de nuestra respuesta continua al incidente de seguridad».
Fuente