Vor einer groß angelegten Kampagne zu Datendiebstahl einer kriminellen Gruppe warnt Googles Threat Intelligence Group (GTIG). Die Angriffe schienen zunächst mit Salesloft Drift verbundene Salesforce-Instanzen zu betreffen.

Allerdings zeigen neue Analysen, dass auch andere mit Salesloft Drift verbundene Systeme gefährdet sind. Daher müssen alle mit der Drift-Plattform verbundene Authentifizierungstoken als kompromittiert betrachtet werden, wie Google in einer aktualisierten Analyse schreibt..

Demnach hat die kriminelle Gruppe zwischen dem 8. und mindestens 18. August 2025 "systematisch große Datenmengen aus Salesforce-Instanzen" von Unternehmen kopiert. Mit kompromittierten OAuth-Token, die aus der KI-Plattform Salesloft Drift stammen, haben sie sich Zugriff verschafft.

Salesloft und Salesforce hatten zunächst die Zugriffstoken zurückgezogen und die Drift-App wurde vorerst aus dem Salesforce AppExchange entfernt. Von Google, Salesforce und Salesloft wurden betroffene Organisationen benachrichtigt worden. Allerdings wurden potenziell alle Authentifizierungstoken, die von der Salesloft-Drift-Plattform gespeichert oder damit verbunden sind, kompromittiert.

Daher empfiehlt Google den IT-Verantwortlichen, umgehend alle Drittanbieter-Integrationen, die mit ihrer Salesloft-Drift-Instanz verbunden sind, zu überprüfen und die Zugangsdaten zu verwerfen und neue anzulegen. Zudem sollten sie die verbundenen Systeme auf Anzeichen unberechtigter Zugriffe prüfen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE