Zusammenfassung
- Die Google Threat Intelligence Group berichtete, dass UNC6395 von Anfang August bis mindestens 18. August 2025 Salesforce-Kundeninstanzen angriff, indem sie kompromittierte OAuth-Tokens der Drittanbieteranwendung Salesloft Drift nutzte.
- Salesforces Trust Advisory erklärte, dass Salesloft in Zusammenarbeit mit Salesforce aktive Zugriffs- und Aktualisierungstokens ungültig machte und Drift aus dem AppExchange entfernte; das Problem sei nicht auf eine Schwachstelle in der Kernplattform von Salesforce zurückzuführen.
- Saleslofts Trust Center teilte später mit, dass Mandiant einen mutmaßlichen Einbruch in das Drift-Produkt untersucht habe und dass die Untersuchung Grundursache, Umfang, Eindämmung, Behebung und Segmentierung zwischen Drift- und Salesloft-Anwendungen bewertet habe.
- Der Vorfall zeigt, dass OAuth-Zustimmung keine administrative Nebensache ist. Eine stark berechtigte Integration kann zu einem Zugangspfad zu Kundencrm-Daten, Supportfällen, in Datensätzen eingebetteten Anmeldeinformationen und nachgelagerten Cloud-Systemen werden.
- Rechenschaftspflicht folgt der Kontrolle. Salesloft kontrollierte das Drift-Produkt und die Token-Verwahrung. Salesforce kontrollierte die Governance von Connected Apps, die Reaktion des AppExchange, Kundenbenachrichtigungskanäle, Prüfungstransparenz und die Notfallwiderrufung von Tokens. Kunden kontrollierten die Genehmigungen für Connected Apps und die Datenhygiene, aber oft erst, nachdem die Plattform und der Anbieter die Integration verfügbar gemacht hatten.
Die öffentliche Zeitleiste beginnt mit delegierter Autorität
Die Warnung der Google Threat Intelligence Group,Widespread Data Theft Targets Salesforce Instances via Salesloft Drift, ist die zentrale technische Quelle. GTIG erklärte, dass der als UNC6395 verfolgte Akteur ab dem 8. August 2025 bis mindestens zum 18. August 2025 Salesforce-Kundeninstanzen durch kompromittierte OAuth-Tokens der Drittanbieteranwendung Salesloft Drift angriff. GTIG gab an, dass der Akteur große Datenmengen aus zahlreichen Unternehmens-Salesforce-Instanzen exportierte und nach Geheimnissen wie AWS-Zugriffsschlüsseln, Passwörtern und Snowflake-Tokens suchte.
Salesforces eigenerSecurity Advisorygrenzte die Plattformverantwortung ein. Salesforce erklärte, dass der Vorfall die von Salesloft veröffentlichte Drift-App betraf, dass Salesloft in Zusammenarbeit mit Salesforce aktive Zugriffs- und Aktualisierungstokens ungültig machte und Drift aus dem AppExchange entfernt wurde. Der Advisory sagte auch, dass das Problem nicht auf eine Schwachstelle in der Kernplattform von Salesforce zurückzuführen sei. Diese Aussage ist wichtig und sollte beibehalten werden. Der Vorfall ist kein Beweis dafür, dass Angreifer eine Schwachstelle in der Salesforce-Kernsoftware ausgenutzt haben.
SalesloftsTrust Centerbeschrieb später die Untersuchung von Mandiant zu einem mutmaßlichen Einbruch in das Drift-Produkt. Es hieß, Mandiant sei am 26. August 2025 beauftragt worden, Grundursache und Umfang zu ermitteln, Eindämmung und Behebung zu unterstützen und die Segmentierung zwischen Drift- und Salesloft-Anwendungen zu überprüfen. Diese Quelle ist wichtig, weil sie die Untersuchung auf der Anbieterebene und nicht nur auf der Salesforce-Plattformebene verortet.
Die öffentliche Reaktionssequenz ist von Bedeutung. Google und Salesforce beschreiben Aktivitäten im Früh- bis Mitte August. Salesforces Advisory besagt, dass Tokens ungültig gemacht und Drift aus dem AppExchange entfernt wurden. AppOmnisAnalyse der Drift-Salesforce-Verletzunghält ebenfalls fest, dass Salesloft und Salesforce Drift-OAuth-Tokens widerrufen und betroffene Organisationen direkt von Salesforce benachrichtigt wurden. Unit 42sThreat Briefverfolgt die Kampagne als kompromittierte OAuth-Anmeldedaten, die zur Exfiltration von Daten aus betroffenen Salesforce-Umgebungen verwendet wurden.
Die entscheidende Tatsache zur Rechenschaft ist die delegierte Autorität. OAuth ermöglicht es einem Benutzer oder Administrator, einer Anwendung Zugriff auf Daten und Aktionen zu gewähren, ohne das Passwort des Benutzers weiterzugeben. Dieses Design ist für moderne SaaS essentiell. Es ist auch gefährlich, wenn eine Drittanbieter-App weitreichende Bereiche, langlebige Aktualisierungstokens, schwache Token-Verwahrung und Zugriff auf hochwertige CRM-Daten hat. Der Token wird zur Autorität.
Dies war kein gewöhnlicher Passwortdiebstahl
Viele Vorfall-Playbooks gehen immer noch von einem menschlichen Login aus. Passwort zurücksetzen, MFA hinzufügen, Login-Verlauf prüfen und weitermachen. Die Drift-Kampagne zeigt, warum das nicht ausreicht. Ein OAuth-Token ist nicht dasselbe wie ein von einem Benutzer eingegebenes Passwort. Es kann eine vertrauenswürdige Anwendung repräsentieren, die bereits die Zustimmung zum Datenzugriff hat. Es kann einige menschliche Login-Kontrollen umgehen, da von der Anwendung erwartet wird, dass sie APIs ohne Anwesenheit einer Person aufruft.
Das bedeutet nicht, dass MFA irrelevant ist. MFA kann die anfängliche Kompromittierung eines Benutzers verhindern und administrative Zustimmungsabläufe schützen. Aber sobald ein gültiger App-Token existiert, sind die wichtigen Kontrollen App-Bereiche, Token-Speicherung, Aktualisierungstoken-Lebensdauer, App-Überprüfung, Widerrufsgeschwindigkeit, API-Überwachung und Anomalieerkennung beim Datenzugriff. Ein Kunde kann eine gute menschliche MFA haben und dennoch gefährdet sein, wenn der Token einer Drittanbieter-App gestohlen wird.
Das FBI/IC3 TLP:CLEAR Advisory,Cyber Criminal Groups UNC6040 and UNC6395 Compromising Salesforce Platforms, warnte, dass UNC6395 kompromittierte OAuth-Tokens für die Salesloft Drift-Anwendung verwendete und dass der Zugriffsmechanismus sich von anderen Salesforce-Kampagnen unterschied. FINRAsCybersecurity Alert zum Salesloft Drift AI Supply-Chain-Angriffordnete den Vorfall für regulierte Finanzunternehmen ein und sagte, gestohlene OAuth-Authentifizierungstokens hätten es Bedrohungsakteuren ermöglicht, sich als die vertrauenswürdige Drift-Anwendung auszugeben und unbefugten Zugriff auf Kundenumgebungen zu erlangen.
Diese beiden Advisories zeigen, warum dies ein Governance-Problem war und nicht nur eine Anbieterverletzung. Regulierte Unternehmen mussten prüfen, ob eine Drittanbieteranwendung Zugriff auf Salesforce-Daten hatte, ob Geheimnisse in CRM-Datensätzen gespeichert waren und ob Kunden oder Interessenten exponiert waren. Das Plattform- und Anbieterproblem wurde zu einem Kunden-Compliance-Problem.
Salesforces Dokumentation zuConnected Appsbeschreibt das grundlegende Modell externer Anwendungen, die in Salesforce integriert werden. Seine OAuth-Dokumentation für Connected Apps, einschließlichOAuth-Einstellungen, zeigt, warum Bereiche und Richtlinien wichtig sind. Diese Dokumente sind keine Vorfallbeweise. Sie erklären die Kontrolloberfläche.
Bereiche verwandelten Vertrauen in einen Explosionsradius
OAuth-Bereiche definieren, was eine App tun kann. In einem minimalen Design erhält eine App nur den Zugriff, der für eine bestimmte Aufgabe benötigt wird. In einem breiten Design kann sie große Klassen von Datensätzen lesen oder schreiben, APIs aufrufen, Zugriff aktualisieren und über eine große Datenfläche operieren. Die Drift-Kampagne fragt, ob die Integrationsbequemlichkeit die Bereichsdisziplin überholt hatte.
GTIG berichtete, dass UNC6395 systematisch Daten aus Salesforce-Umgebungen abfragte und exportierte und Datensätze nach Anmeldeinformationen durchsuchte. Das bedeutet, dass die Gefährdung nicht auf eine von Salesloft verwaltete Feldliste beschränkt war. Es betraf Salesforce-Kundendaten, die über die Integration zugänglich waren. Wenn ein Kunde Geheimnisse in Salesforce-Fällen, Notizen, Support-Threads, Chat-Protokollen, benutzerdefinierten Feldern oder Anhängen hatte, könnten diese Geheimnisse zur nächsten Risikostufe werden.
Dies ist ein wesentlicher Unterschied zu einer Verletzung der eigenen Kundentabelle eines Anbieters. Der kompromittierte Token erlaubte es dem Angreifer, in die Salesforce-Umgebung jedes verbundenen Kunden einzudringen. Der Schaden hing davon ab, was jeder Kunde speicherte, wie seine Salesforce-Org konfiguriert war, auf welche Objekte die App zugreifen konnte und ob Geheimnisse in Datensätzen eingebettet waren. Derselbe gestohlene Token konnte bei verschiedenen Kunden unterschiedliche Schäden verursachen.
AppOmnis Analyse betonte die SaaS-zu-SaaS-Prävention und die Schwierigkeit der Transparenz über Connected Apps hinweg. Arctic WolfsSecurity Bulletinordnete das Ereignis ebenfalls um kompromittierte Salesloft Drift OAuth-Tokens und Salesforce-Datendiebstahl ein. Diese Quellen sind Anbieteranalysen, aber sie verstärken denselben Kontrollpunkt: SaaS-Integrationen schaffen nicht-menschliche Identitäten, die einer Lebenszyklus-Governance bedürfen.
Der Begriff „nicht-menschliche Identität“ kann abstrakt klingen. In diesem Vorfall bedeutet er eine App-Anmeldeinformation, die ohne einen Menschen an der Tastatur handeln kann. Sie kann einmal genehmigt werden und dann bestehen bleiben. Sie kann weitreichenden Zugriff haben, weil breiter Zugriff die Integration nützlich macht. Sie kann in gewöhnlichen Benutzer-Login-Dashboards unsichtbar sein. Sie kann den Geschäftsprozess, der sie rechtfertigte, überdauern. Einmal gestohlen, kann sie sich schnell bewegen, weil API-Aufrufe für diese Identität normal sind.
Der Connected-App-Marktplatz ist Teil der Kontrollkette
Salesforces Advisory sagte, Drift sei bis zur weiteren Untersuchung aus dem AppExchange entfernt worden. Diese Reaktion ist wichtig, weil der AppExchange nicht nur ein Verzeichnis ist. Er ist ein Vertrauenssignal. Kunden nehmen oft an, dass im Marktplatz gelistete Apps einen Überprüfungsprozess durchlaufen haben und für die Installation geeignet sind. Der Marktplatz eliminiert nicht die Sorgfaltspflicht des Kunden, aber er beeinflusst die Kundenentscheidungen.
Wenn eine Marktplatz-App zu einem Kampagnenzugangspfad wird, liegt die Verantwortung der Plattform nicht darin, dass sie die Anbieterverletzung verursacht hat. Die Verantwortung besteht darin, dass sie erkennen, kommunizieren, deaktivieren und Kunden schneller zur Wiederherstellung verhelfen muss, als es eine kundenindividuelle Entdeckung ermöglichen würde. Eine Plattform sieht App-Installationen über mehrere Mandanten hinweg. Sie kann identifizieren, welche Kunden die App installiert haben. Sie kann den Token-Widerruf koordinieren. Sie kann betroffene Kunden benachrichtigen. Sie kann die Auflistung entfernen oder sperren.
Diese mandantenübergreifende Transparenz ist genau der Grund, warum Plattform-Governance wichtig ist.
Salesforce scheint diese Plattformrolle in der öffentlichen Aufzeichnung genutzt zu haben: Sein Advisory besagt, dass es mit Salesloft zusammengearbeitet, Tokens ungültig gemacht, die App entfernt und betroffene Organisationen benachrichtigt hat. Die Rechenschaftsfrage ist, wie schnell dies im Verhältnis zur ersten verdächtigen Aktivität geschah und ob die Kunden ausreichend Protokollzugriff hatten, um ihre eigene Gefährdung zu bestimmen. GTIG berichtete von Kampagnenaktivitäten ab dem 8. August; der Token-Widerruf wurde am 20. August gemeldet.
Die Öffentlichkeit kann das grobe Intervall sehen, aber nicht den internen Entscheidungsprozess zur Erkennung.
Kunden haben auch Verantwortungen. Sie wählen Apps aus, genehmigen Bereiche, speichern Geheimnisse in Datensätzen, überwachen das API-Verhalten und überprüfen Connected Apps. Aber die Kundenverantwortung wird durch die Plattformmöglichkeiten begrenzt. Wenn Connected-App-Überprüfungen schwer zu verstehen sind, wenn Bereiche zu grobkörnig sind, wenn Protokolle schwer zugänglich sind, wenn das Token-Inventar fragmentiert ist oder wenn das Marktplatzvertrauen vage ist, treffen Kunden Entscheidungen mit unvollständiger Transparenz.
Der Vorfall sollte daher nicht als einfache dreiseitige Schuldzuweisung dargestellt werden. Es ist eine Kette: Salesloft musste Drift und seine Tokens schützen; Salesforce musste das Connected-App-Vertrauen und den Notfall-Widerruf steuern; Kunden mussten den App-Zugriff einschränken und Geheimnisse aus CRM-Daten entfernen; Angreifer nutzten die Kette aus.
CRM-Daten wurden zur Geheimnisjagdoberfläche
GTIGs beunruhigendster Befund war nicht nur, dass CRM-Datensätze exportiert wurden. Es war, dass der Akteur nach Geheimnissen suchte. Eine Salesforce-Umgebung kann Supportfälle, Verkaufsnotizen, Kunden-Onboarding-Details, technische Fehlerbehebungs-Threads, in Tickets eingefügte API-Schlüssel, VPN-Endpunkte, Cloud-Konto-IDs, Integrationsanmeldeinformationen, versehentlich in Fallkommentaren gespeicherte Passwörter oder Anhänge mit sensiblen Betriebsdaten enthalten. Dieses Material sollte nicht in CRM-Datensätzen sein, aber in echten Organisationen ist es das oft.
Dies verschiebt den Schaden von Datenschutz zu lateralem Risiko. Wenn ein Angreifer einen CRM-Export verwendet, um AWS-Schlüssel, Snowflake-Tokens, VPN-Anmeldeinformationen oder andere Geheimnisse zu finden, kann die Verletzung von der Offenlegung von Kundendaten zur Infrastrukturkompromittierung übergehen. Das CRM-System wird zu einer Karte anderer Systeme. Es ist der Ort, an dem Supportteams Probleme dokumentieren, und diese Dokumentation kann die Hinweise enthalten, die benötigt werden, um die unterstützten Systeme anzugreifen.
Das öffentliche GTIG-Advisory sagt, Organisationen sollten nach Geheimnissen suchen und Anmeldeinformationen rotieren. Dieser Rat ist betrieblich teuer, da Kunden ihre eigenen Daten nach Material durchsuchen müssen, das sie dort nie hätten speichern sollen. Der Vorfall legt daher ein Versagen der Datenhygiene auf Kundenebene offen. Aber der Auslöser war eine Kompromittierung einer vertrauenswürdigen Integration. Kunden haben möglicherweise nicht erkannt, dass ein Chatbot oder eine Umsatzworkflow-Integration auf Datensätze mit Anmeldeinformationen zugreifen konnte.
Salesforce und Kunden können dieses Risiko reduzieren, indem sie die Geheimnisüberprüfung als CRM-Kontrolle behandeln. Datensätze sollten auf Schlüsselmuster überprüft werden. Support-Workflows sollten davon abhalten, Passwörter oder Tokens einzufügen. Sensible Felder sollten maskiert werden. App-Bereiche sollten keine Objekte umfassen, die nicht benötigt werden. Exporte sollten überwacht werden. Dies sind keine exotischen Kontrollen; es sind praktische Reaktionen auf die Realität, dass CRM-Systeme unordentliche Betriebsdaten enthalten.
Das Risiko erklärt auch, warum Kundenbenachrichtigungen wichtig sind. Wenn eine Kundenorganisation betroffen war, musste ihr Sicherheitsteam schnell genug informiert werden, um Datensätze zu durchsuchen, exponierte Geheimnisse zu rotieren, nachgelagerte Cloud-Protokolle zu überprüfen und gegebenenfalls eigene Kunden zu warnen. Eine verzögerte oder vage Benachrichtigung könnte gestohlenen Geheimnissen erlauben, gültig zu bleiben.
Widerruf war notwendig, aber nicht die alleinige Wiederherstellung
Der Token-Widerruf schließt den unmittelbaren delegierten Zugriffspfad. Salesforces Advisory und GTIG beschreiben beide den Widerruf oder die Ungültigmachung von Drift-Zugriffs- und Aktualisierungstokens. Das war notwendig. Es hat jedoch nicht von selbst bereits exportierte Daten oder geerntete Geheimnisse entfernt. Die Wiederherstellung musste in den Kundenumgebungen fortgesetzt werden.
Der erste Wiederherstellungsschritt ist die Eingrenzung der Gefährdung: Auf welche Salesforce-Objekte wurde zugegriffen, welche Datensätze wurden abgefragt, welche API-Jobs wurden ausgeführt und welche Integrationen wurden verwendet? DieEventüberwachung und Transaktionssicherheitsdokumentationund API-Protokolle von Salesforce können hier relevant sein, aber die Protokollverfügbarkeit variiert je nach Edition, Konfiguration, Aufbewahrung und Kundenreife. Öffentliche Advisories können keine mandantenspezifischen Beweise ersetzen.
Der zweite Schritt ist die Geheimnisrotation. Wenn Datensätze AWS-Schlüssel, Snowflake-Tokens, VPN-Anmeldeinformationen, API-Schlüssel, Passwörter oder Webhook-Geheimnisse enthielten, mussten diese Geheimnisse gefunden und rotiert werden. Das ist schwierig, weil Geheimnisse in Freitextfeldern, Anhängen, Fallkommentaren, Chat-Protokollen oder benutzerdefinierten Objekten sitzen können. Automatisierte Suche hilft, kann aber ungewöhnliche Formate übersehen. Manuelle Überprüfung ist langsam.
Der dritte Schritt ist die Benachrichtigung von Kunden und nachgelagerten Stellen. Ein Salesforce-Kunde, dessen CRM-Daten exportiert wurden, kann Verpflichtungen gegenüber seinen eigenen Kunden, Mitarbeitern, Interessenten, Partnern und Aufsichtsbehörden haben. Dies erzeugt eine Kaskade. Saleslofts Vorfall wurde zu Salesforces Plattformvorfall, der zu einem Vorfall jedes betroffenen Kunden wurde, der zu einer Kundenbenachrichtigung jedes betroffenen Kunden werden kann. Die Kosten einer OAuth-Kompromittierung breiten sich nach außen aus.
Der vierte Schritt ist die Überprüfung der App-Governance. Kunden müssen fragen, welche anderen Connected Apps ähnliche Bereiche haben, ob sie noch benötigt werden, ob Aktualisierungstokens langlebig sind, ob App-Besitzer bekannt sind, ob Anbieterrisikobewertungen aktuell sind und ob Notfall-Widerrufsplaybooks existieren. Der Drift-Vorfall sollte als Probe für jede andere tief berechtigte SaaS-Integration behandelt werden.
KI-Branding änderte nichts am Rechenschaftsproblem
Einige öffentliche Diskussionen stellten Drift als KI-Chatbot-Integration dar. Das ist für den Produktkontext relevant, aber das Sicherheitsversagen war nicht aufgrund von KI magisch. Das Kernproblem war der delegierte SaaS-Zugriff. Ein Chatbot, ein Vertriebsengagement-Tool, ein Support-Widget, ein Analyse-Konnektor, ein Datenanreicherungstool oder eine Marketingautomatisierungsplattform können alle gefährlich werden, wenn sie breite Tokens in Kundensystemen halten.
KI kann den Appetit auf Integrationen erhöhen, weil Unternehmen konversationelle Tools wünschen, die mehr Kontext sehen. Ein Vertriebs- oder Support-Chatbot ist nützlicher, wenn er CRM-Datensätze lesen, Kundenfragen beantworten, Fälle aktualisieren, Leads weiterleiten und Antworten personalisieren kann. Jeder zusätzliche Bereich erhöht Nützlichkeit und Risiko. Wenn der Token hinter diesem Bereich gestohlen wird, erhält der Angreifer denselben breiten Kontext, der das Produkt attraktiv machte.
Dies ist die Sicherheitsökonomie der SaaS-Automatisierung. Anbieter verkaufen reibungslosere Arbeitsabläufe. Kunden genehmigen Zugriff, weil der Arbeitsablauf Arbeit spart. Plattformen hosten das Berechtigungsmodell, weil Integrationen den Ökosystemwert erhöhen. Das Risiko ist, dass keine der Parteien die Kosten einer Token-Kompromittierung vollständig bepreist, bis nach einer Kampagne. Der Drift-Vorfall ist eine Fallstudie für dieses unterbewertete Risiko.
FINRAs Warnung ist wichtig, weil regulierte Finanzunternehmen dies nicht als allgemeine Technologienachricht behandeln können. Wenn ein Finanzunternehmen Drift mit Salesforce verwendete, musste es bewerten, ob Kunden-, Interessenten- oder interne Daten offengelegt wurden und ob Anmeldeinformationen in CRM-Datensätzen nachgelagerte Risiken schufen. Die gleiche Logik gilt im Gesundheitswesen, Bildungswesen, Software, öffentlichen Auftragswesen und in jedem Sektor, in dem Salesforce sensible Betriebskontexte enthält.
Der Vorfall offenbarte eine Transparenzasymmetrie
Plattformen sehen Muster, die einzelne Kunden nicht sehen können. Ein einzelner Kunde kann seltsames API-Verhalten in seiner eigenen Salesforce-Org bemerken. Salesforce kann AppExchange-App-Installationen, Token-Ungültigmachungen und mandantenübergreifende Muster sehen. Salesloft kann Drift-Produkttelemetrie und Token-Verwahrung sehen. Google Threat Intelligence kann Bedrohungsaktivitäten über Kunden und eigene Untersuchungen hinweg sehen. Kein einzelner Kunde kann die gesamte Kampagne sehen.
Diese Asymmetrie schafft Pflichten. Die Partei mit mandantenübergreifender Transparenz muss schnell warnen. Die Partei mit Produkttelemetrie muss schnell untersuchen und eindämmen. Die Plattform muss helfen, betroffene Kunden zu identifizieren. Kunden müssen nach Benachrichtigung schnell handeln. Wenn eine Partei auf perfekte Beweise wartet, kann der Angreifer weiterhin gültige Autorität nutzen.
Die öffentliche Aufzeichnung deutet auf koordinierte Aktionen hin, aber nicht auf die genaue Geschwindigkeit der internen Eskalation. GTIG sagte, die Kampagne habe ab dem 8. August begonnen. Salesforces Advisory berichtete über Ungültigmachungs- und Entfernungsaktionen. Saleslofts Trust Center sagt, Mandiant sei am 26. August beauftragt worden. Diese Daten zeigen Bewegung, aber sie zeigen nicht, wann jede Partei genug wusste, um zu handeln, oder welche Signale früher verfügbar waren.
Diese fehlende Zeitleiste ist wichtig, weil OAuth-Kampagnen schnell sind. Sobald Tokens gestohlen sind, kann der Angreifer Abfragen und Exporte automatisieren. Ein Unterschied von Tagen kann bestimmen, ob Kunden Geheimnisse vor oder nach der Nutzung rotieren. Eine qualitativ hochwertige Nachbesprechung würde Erkennungszeit, Entscheidungszeit, Token-Ungültigkeitszeit, Kundenbenachrichtigungszeit und Protokollverfügbarkeitszeit zeigen.
Was Kunden lernen sollten, ohne beschuldigt zu werden
Kunden haben Verantwortungen, aber die Lektion sollte nicht lauten: „Kunden hätten es besser wissen müssen.“ Viele Kunden installieren Marktplatz-Apps, weil sie sich auf die Vertrauenssignale der Plattform verlassen. Sie genehmigen Bereiche, weil Anbieter sagen, dass die Bereiche benötigt werden. Sie speichern Betriebsdaten im CRM, weil Mitarbeiter das CRM als gemeinsames Gedächtnis der Kundenarbeit nutzen. Das sind normale Geschäftsverhaltensweisen, keine fahrlässigen Handlungen.
Die bessere Lektion ist eine disziplinierte Governance von Connected Apps. Kunden sollten Connected Apps, Besitzer, Bereiche, Token-Lebensdauern, Daten der letzten Nutzung und den Anbieterrisikostatus inventarisieren. Sie sollten Apps entfernen, die nicht mehr benötigt werden. Sie sollten Profile und Berechtigungssätze einschränken, die für Apps verfügbar sind. Sie sollten CRM-Daten auf Geheimnisse überprüfen. Sie sollten das API-Verhalten pro App überwachen, nicht nur pro Benutzer. Sie sollten ein Playbook für den Notfall-Widerruf von Tokens haben.
Salesforce kann diese Kundenverantwortungen einfacher oder schwieriger machen. Klare App-Berechtigungserklärungen, App-Risikobewertungen, Admin-Warnungen für breite Bereiche, einfaches Token-Inventar, bessere Standardablaufzeiten, Anomaliewarnungen und eine strenge AppExchange-Überprüfung können die Kundenlast reduzieren. Das Design der Plattform prägt das Kundenverhalten.
Salesloft und andere SaaS-Anbieter können die Last ebenfalls reduzieren, indem sie Tokens sicher speichern, erforderliche Bereiche minimieren, Anmeldeinformationen rotieren, Vorfall-Updates schnell veröffentlichen und Segmentierung nachweisen. Der Verweis in Saleslofts Trust Center auf die Überprüfung der Segmentierung zwischen Drift- und Salesloft-Anwendungen ist wichtig, weil Kunden Vertrauen benötigen, dass eine Produktkompromittierung nicht zu einer breiteren Anbieterkompromittierung wurde.
OAuth-Standards erklären, warum Inhaber-Tokens zusätzliche Disziplin erfordern
OAuth ist für delegierte Autorisierung konzipiert. Die Kern-OAuth-2.0-Spezifikation,RFC 6749, ermöglicht es einem Client, Zugriffstokens auf Ressourcen mit der Autorisierung des Ressourceninhabers zu erhalten. Das Design ist leistungsstark, weil der Benutzer dem Client sein Passwort nicht geben muss. Das Risiko besteht darin, dass ein Zugriffstoken oft eine Inhaber-Anmeldeinformation ist: Wer es besitzt, kann es innerhalb seines Bereichs verwenden, bis es abläuft oder widerrufen wird.
Das OAuth-Bedrohungsmodell und die Sicherheitsüberlegungen inRFC 6819warnen vor Token-Leckage, Token-Speicherung, Wiedergabe, Phishing, Redirect-Missbrauch und der Notwendigkeit, Bereich und Lebensdauer zu begrenzen. Die neueren OAuth-2.0-Sicherheits-Best-Current-Practice,RFC 9700, setzt diese Richtung fort, indem es moderne defensive Muster betont. Diese Standards sind keine Salesforce-Vorfallberichte. Sie erklären, warum die Drift-Kampagne strukturell gefährlich war.
Wenn ein Drift-Token weitreichenden Salesforce-Zugriff hatte, verkörperte der Token selbst Vertrauen. Ein Sicherheitsteam konnte das Passwort des Benutzers entfernen, MFA erzwingen und dennoch Risiko ausgesetzt sein, wenn der App-Token weiterhin gültig war. Deshalb war der Token-Widerruf die Notfallmaßnahme. Es ist auch der Grund, warum die nächste Ebene die Bereichsminimierung ist. Ein gestohlener Token mit engem Bereich kann schädlich, aber begrenzt sein. Ein gestohlener Token mit breitem Lesezugriff kann zu einem Datenexportwerkzeug werden.
MITRE ATT&CKs TechnikSteal Application Access Tokenbeschreibt Gegner, die Anwendungszugriffstokens stehlen, um auf entfernte Systeme und APIs zuzugreifen. Seine Technik fürUse Alternate Authentication Materialdeckt das breitere Muster der Verwendung gültiger Authentifizierungsartefakte anstelle von Passwörtern ab. Diese Frameworks helfen, die Angriffsklasse zu benennen, ohne die Salesforce-spezifischen Fakten zu überzeichnen: Das Problem war gültiges delegiertes Material in den falschen Händen.
Die Standardlektion ist einfach, aber betrieblich schwierig. Tokens sollten als Geheimnisse behandelt werden. Aktualisierungstokens sollten als besonders sensible Geheimnisse behandelt werden, da sie zukünftigen Zugriff erzeugen können. Bereiche sollten so eng sein, wie das Produkt es verträgt. Tokens sollten rotiert und widerrufbar sein. Protokolle sollten die Token-Nutzung nach App und Objekt zeigen. Kunden sollten wissen, welche nicht-menschlichen Identitäten ihre Daten lesen können. Plattformen sollten gefährliche Bereiche schwer stillschweigend genehmigbar machen.
Connected-App-Hygiene braucht einen Besitzer, keine Tabellenkalkulation nach dem Vorfall
Viele Organisationen entdecken ihre Connected Apps während eines Vorfalls. Das ist zu spät. Ein Connected-App-Inventar sollte vor der Kampagne existieren: App-Name, Anbieter, Geschäftsinhaber, technischer Inhaber, Bereiche, installierte Profile, letzte Nutzung, Aktualisierungstoken-Richtlinie, berührte Datenobjekte, Vertragsstatus und Entfernungsverfahren. Wenn niemand die App besitzt, besitzt niemand das Risiko.
Salesforces Dokumentation zurVerwaltung von Connected AppsundOAuth-Richtlinien für Connected Appszeigt, dass die Plattform administrative Kontrollen bietet. Die Frage ist, ob Kunden die Mitarbeiter, das Wissen und die Anreize haben, sie gut zu nutzen. Ein kleines Unternehmen kann ein Verkaufs-Chat-Tool installieren und seine Bereiche nie wieder überprüfen. Ein großes Unternehmen kann Hunderte von Connected Apps haben und keinen einheitlichen Überprüfungsrhythmus.
Hier sollte das Plattformdesign Fehler reduzieren. Gefährliche Bereiche sollten in einfacher Sprache sichtbar sein. Ungenutzte Connected Apps sollten leicht zu finden sein. Apps mit Aktualisierungstokens sollten hervorgehoben werden. Hochrisiko-Apps sollten Ablauf- oder regelmäßige Neuautorisierungsoptionen haben. Admins sollten in der Lage sein, App-Zugriff zu widerrufen, ohne unabhängige Arbeitsabläufe zu stören. Sicherheitsteams sollten app-spezifische API-Anomaliewarnungen erhalten.
Kunden brauchen auch Richtlinien. Keine App sollte weitreichenden Zugriff ohne einen benannten Besitzer und ein Überprüfungsdatum erhalten. Keine App sollte installiert bleiben, nachdem der Geschäftsinhaber gegangen ist. Keine App sollte Geheimnisse in CRM-Datensätzen speichern, nur weil es bequem ist. Keine App sollte von Vorfall-Playbooks ausgenommen sein, weil sie „nur ein Verkaufstool“ ist. Die Drift-Kampagne zeigte, dass ein Verkaufstool zu einem Sicherheitsvorfallpfad werden kann.
Das Problem ist teilweise wirtschaftlicher Natur. Connected Apps sparen Arbeit. Überprüfung kostet Arbeit. Wenn der Nutzen unmittelbar und das Risiko selten ist, investieren Organisationen zu wenig in die Überprüfung. Plattform und Anbieter können dieses Ungleichgewicht reduzieren, indem sie die Kosten für gute Governance senken: klare Dashboards, Risikobewertungen, automatisierte Empfehlungen und sicherere Standardeinstellungen.
Protokolle müssen Fragen beantworten, auf die ein Kunde reagieren kann
Vorfallleitfäden raten Kunden oft, Protokolle zu überprüfen. Dieser Rat ist nur nützlich, wenn Protokolle die richtigen Fragen beantworten. Für die Drift-Kampagne mussten Kunden wissen, welche App-Tokens verwendet wurden, welche Salesforce-Objekte abgefragt wurden, welche Datensätze exportiert wurden, von welchen IPs, mit welchem Benutzerkontext, über welchen Zeitraum und ob die Abfragen nach geheimnisähnlichen Zeichenfolgen suchten.
Salesforce Eventüberwachung, API-Protokolle und Connected-App-Berichte können helfen, aber der Zugriff auf vollständige Beweise kann von Lizenzierung, Aufbewahrung und Konfiguration abhängen. Ein Kunde, der nicht über die richtige Edition oder Protokollexport-Pipeline verfügt, erhält möglicherweise eine Benachrichtigung und hat dennoch Schwierigkeiten, die Gefährdung zu bestimmen. Das ist ein Plattform-Governance-Problem. Wenn eine Marktplatz-Integration über Kunden hinweg missbraucht wird, ist die Plattform am besten in der Lage, normalisierte Beweispakete bereitzustellen.
Kunden brauchen auch einen wiederholbaren Triage-Pfad. Erstens feststellen, ob Drift installiert und verbunden war. Zweitens feststellen, ob Tokens während des Kampagnenzeitraums aktiv waren. Drittens die API-Aktivität überprüfen, die der App zugeschrieben wird. Viertens den Objekt- und Feldzugriff identifizieren. Fünftens exportierte oder zugängliche Datensätze auf Geheimnisse durchsuchen. Sechstens alle Geheimnisse rotieren, die möglicherweise offengelegt wurden. Siebtens nachgelagerte Parteien benachrichtigen, wenn regulierte oder Kundendaten betroffen waren.
Das FBI/IC3-Advisory und die GTIG-Anleitung weisen Kunden auf diese Art von Aktionen hin, aber die Umsetzung variiert stark. Ein großes Finanzunternehmen hat möglicherweise ein Sicherheitsbetriebsteam und einen Protokollsee. Ein kleines SaaS-Unternehmen hat möglicherweise einen Salesforce-Administrator, einen verwalteten Sicherheitsanbieter und einen Rückstand. Dieselbe Kampagne schafft daher ungleiche Wiederherstellungslasten.
Diese Ungleichheit ist für die Rechenschaftspflicht von Bedeutung. Plattformen, die Unternehmen mit sehr unterschiedlichen Reifegraden bedienen, sollten nicht davon ausgehen, dass alle Kunden Rohprotokolle oder Bedrohungsindikatoren interpretieren können. UmSetzbare, mandantenspezifische Beweise reduzieren die Kosten der Reaktion und die Wahrscheinlichkeit, dass gestohlene Geheimnisse gültig bleiben.
Geheimnisse in CRM-Datensätzen sind ein vermeidbares, aber häufiges Versagen
Eine unangenehme Lektion ist, dass Kunden aufhören müssen, CRM als sicheren Ort für Betriebsgeheimnisse zu behandeln. Support- und Vertriebsteams fügen oft API-Schlüssel, Anmeldeinformationen, Inhaber-Tokens, Webhook-Geheimnisse, VPN-Details oder Screenshots in Fälle und Notizen ein, weil sie ein Problem lösen wollen. Das CRM wird zu einem Bequemlichkeitsarchiv. Wenn eine Integration es lesen kann, wird das Bequemlichkeitsarchiv zu einem Geheimnisrepository.
OWASPsSecrets Management Cheat Sheeterklärt, warum Geheimnisse kontrollierte Speicherung, Rotation und Zugriffsdisziplin benötigen. Die Drift-Kampagne wendet dieses Prinzip auf CRM-Daten an. Wenn Geheimnisse in Datensätzen auftauchen, kann ein CRM-Export zu einem Schlüsselbund werden.
Die Reparatur ist teils technisch: Datensätze auf geheime Muster überprüfen, sensible Felder maskieren, Anhänge einschränken und warnen, wenn bekannte Schlüsselformate auftauchen. Sie ist auch kulturell: Support-Teams schulen, keine Geheimnisse anzufordern oder zu speichern, sichere Aufnahmekanäle für notwendiges Diagnosematerial bereitstellen und das Entfernen von Geheimnissen bei Entdeckung erleichtern. Wenn die Organisation langsame Unterstützung bestraft, aber unsichere Support-Notizen nicht, werden Mitarbeiter weiterhin Abkürzungen nehmen.
Salesforce und Integrationsanbieter können helfen, indem sie Geheimniserkennungsfunktionen entwickeln und Kunden warnen, wenn breite App-Bereiche Objekte umfassen, die wahrscheinlich sensible Betriebsdaten enthalten. Aber Kunden besitzen weiterhin die Datenhygiene in ihren Orgs. Der Drift-Vorfall hat die schlechte Praxis, Geheimnisse im CRM zu speichern, nicht geschaffen; er hat offenbart, wie diese Praxis eine Drittanbieter-Token-Kompromittierung verstärken kann.
Die öffentliche Aufzeichnung sollte bewahren, was nicht geschah
Es ist genauso wichtig, festzustellen, was die öffentliche Aufzeichnung nicht zeigt. Die Quellen zeigen nicht, dass Angreifer eine Salesforce-Kernschwachstelle ausgenutzt haben. Sie zeigen nicht, dass jeder Salesforce-Kunde betroffen war. Sie zeigen nicht, dass jeder Drift-verbundene Kunde dieselben Daten exportiert hatte. Sie zeigen nicht, dass jeder exportierte Datensatz Geheimnisse enthielt. Sie zeigen nicht, dass Saleslofts breitere Produktsuite über das hinaus kompromittiert war, was Saleslofts Untersuchung beschrieb.
Diese Grenzen schützen die Fairness. Sie machen die eigentliche Lektion auch schärfer. Der Vorfall ist ohne Übertreibung ernst, weil eine vertrauenswürdige Integration zu einem delegierten Zugangspfad in Kundenumgebungen wurde. Die Schwere ergibt sich aus dem Vertrauensmodell, nicht aus der Notwendigkeit, einen Plattform-Zero-Day zu erfinden.
Der Vorfall sollte auch nicht vage als „Drittanbieterrisiko“ bezeichnet werden. Das spezifische Drittanbieterrisiko war die Token-Verwahrung und die Connected-App-Autorität. Ein Anbieter kann SOC-Berichte, Verträge und Sicherheitsfragebögen haben und dennoch Tokens halten, die außergewöhnlichen Schutz erfordern. Kundenüberprüfungen von Anbieterrisiken müssen fragen, wie SaaS-Integrationen Tokens speichern, welche Bereiche sie benötigen, wie schnell Tokens widerrufen werden können und welche Beweise der Anbieter nach einem Vorfall liefern kann.
Die AppExchange-Überprüfung der Plattform muss ebenfalls spezifisch sein. Sie sollte nicht nur prüfen, ob eine App funktioniert und bei der Listung grundlegende Sicherheitsanforderungen erfüllt. Sie sollte kontinuierliche Überwachung, schnelle Sperrung, Kundenbenachrichtigung und Neubewertung nach einem Vorfall unterstützen. Vertrauen in einen Marktplatz ist eine fortlaufende Verpflichtung, kein einmaliges Abzeichen.
Welche Beweise die Bewertung ändern würden
Die Bewertung könnte sich mit mehr Beweisen in beide Richtungen ändern. Wenn spätere forensische Details zeigen, dass die kompromittierten Tokens extrem eng waren, Exporte begrenzt waren und betroffene Kunden schnell vollständige objektebene Protokolle erhielten, sollte die betriebliche Schwere reduziert werden. Wenn spätere Beweise breitere Bereiche, langlebige Tokens, schwache Token-Speicherung, verzögerten Widerruf oder weit verbreitete Geheimnisoffenlegung zeigen, sollte die Schwere steigen.
Wenn Salesforce mehr Details zu AppExchange-Überwachungsverbesserungen, Token-Inventarfunktionen, Kundenprotokollpaketen oder sichereren Connected-App-Standardwerten veröffentlicht, würde dies die Reparaturaufzeichnung stärken. Wenn Salesloft mehr Details zu Grundursache, Token-Verwahrung, Segmentierung und Kundenbehebung veröffentlicht, würde dies die Anbieterverantwortung stärken. Wenn Aufsichtsbehörden Feststellungen treffen, sollten diese getrennt von der aktuellen öffentlichen Beratungsaufzeichnung bewertet werden.
Bis dahin unterstützen die Beweise eine Schlussfolgerung mit hohem Vertrauen in die Kontrolle: SaaS-Ökosysteme benötigen eine Connected-App-Governance, die delegierte Tokens als Produktionsanmeldeinformationen und nicht als Integrationsinfrastruktur behandelt.
Diese Schlussfolgerung ist genau deshalb nützlich, weil sie keine überzogenen Behauptungen aufstellt. Sie ermöglicht es Kunden, Connected Apps zu härten, ohne auf ein endgültiges Gerichtsprotokoll zu warten. Sie ermöglicht es Plattformen, Marktplatz- und Token-Kontrollen zu verbessern, ohne einen Kernplattformfehler zuzugeben, den die Beweise nicht zeigen. Sie ermöglicht es Anbietern, die Token-Verwahrung als produktsicherheitstechnische Verpflichtung zu behandeln.
Die Lektion der Kampagne ist nicht spekulativ: Delegierter Zugriff kann gestohlen werden, und wenn das passiert, muss das Ökosystem wissen, wer ihn widerrufen, wer ihn erklären und wer beweisen kann, was er berührt hat.
Widerrufsübungen sollten Routine sein
Der schnellste Weg, um zu lernen, ob OAuth-Governance real ist, ist die Durchführung einer Widerrufsübung vor einem Vorfall. Wählen Sie eine nicht kritische Connected App. Identifizieren Sie den Geschäftsinhaber, Bereiche, Benutzer, Tokens, Protokolle, abhängige Arbeitsabläufe und den Rollback-Pfad. Widerrufen Sie den Zugriff in einem kontrollierten Fenster und messen Sie, was kaputt geht. Dokumentieren Sie dann, wer die Wiederherstellung genehmigt hat und welche Beweise zeigten, dass die App sicher wieder verbunden werden konnte.
Diese Übung verwandelt abstraktes App-Inventar in betriebliches Wissen. Sie zeigt, ob die Sicherheit die App finden kann, ob Admins sie widerrufen können, ob das Geschäft den Arbeitsablauf versteht, ob Benutzer klare Anweisungen erhalten und ob Protokolle beweisen können, worauf die App zugegriffen hat. Sie zeigt auch, wo Teams Angst haben, alte Integrationen anzurühren, weil niemand weiß, warum sie existieren.
Die Drift-Kampagne zeigt, warum diese Praxis wichtig ist. Bei einer echten Kompromittierung kann sich die Organisation nicht Tage damit verbringen, herauszufinden, wem eine Integration gehört, während Angreifer gestohlene Tokens verwenden. Ein vorbereiteter Kunde kann zuerst widerrufen, schnell untersuchen und nur mit Beweisen wieder verbinden. Ein unvorbereiteter Kunde könnte zögern, weil jeder Token wie geschäftskritisch aussieht.
Der Rechenschaftstest
Die Drift-Salesforce-Kampagne sollte anhand von sieben Kontrollen beurteilt werden.
Erstens, Token-Verwahrung: Hat Salesloft Zugriffs- und Aktualisierungstokens als hochsensible Anmeldeinformationen geschützt, und hat seine Architektur die Token-Exposition über Drift und andere Produkte hinweg minimiert?
Zweitens, Bereichsdesign: Hat die Drift-Integration nur die Salesforce-Berechtigungen angefordert, die sie benötigte, und verstanden die Kunden den Explosionsradius der Genehmigung dieser Berechtigungen?
Drittens, Marktplatz-Governance: Haben Salesforces AppExchange-Überprüfung, Überwachung und Notfallentfernungsprozess das Kundenrisiko schnell genug reduziert, sobald die Anbieter-App unsicher wurde?
Viertens, mandantenübergreifende Erkennung: Haben Salesforce, Salesloft und Bedrohungsinformationen-Partner Kampagnenmuster schnell genug identifiziert, um Tokens vor weiteren Exporten zu widerrufen?
Fünftens, Mandantenbeweise: Haben betroffene Kunden genügend Protokolle, Objektzugriffsbeweise und Anleitungen erhalten, um festzustellen, was abgefragt wurde und ob Geheimnisse offengelegt wurden?
Sechstens, Geheimnishygiene: Haben Kunden Passwörter, API-Schlüssel, Cloud-Tokens oder VPN-Anmeldeinformationen in Salesforce-Datensätzen gespeichert und sie nach der Offenlegung rotiert?
Siebtens, öffentliche Kommunikation: Haben die Advisories die entscheidende Unterscheidung bewahrt, dass Salesforce-Kern nicht ausgenutzt wurde, während sie dennoch klarstellten, dass auf Salesforce-Kundendaten über vertrauenswürdige App-Tokens zugegriffen wurde?
Das abschließende Ergebnis ist nicht, dass Salesforce das verwundbare Produkt war. Die öffentliche Aufzeichnung sagt das Gegenteil: Das Problem beruhte nicht auf einer Schwachstelle in der Salesforce-Kernplattform. Das Ergebnis ist, dass Salesforces Vertrauensgrenze Connected Apps umfasst, weil Kunden die Plattform durch ihr Ökosystem erleben. OAuth-Tokens sind delegierte Autorität. Wenn eine vertrauenswürdige Integration diese Autorität verliert, haben Plattform, Anbieter und Kunde unterschiedliche Pflichten.
Die Drift-Kampagne machte diese Pflichten auf die unbequemste Weise sichtbar: indem sie eine genehmigte Produktivitätsintegration in einen vom Angreifer gehaltenen Schlüssel verwandelte.

