Den massiva Salesforce-läckakampanjen som startade på GitHub visar hur angripare utnyttjade kodarkiv för att stjäla OAuth-token. Attacken mot leveranskedjan började med obehörig åtkomst till Saleslofts GitHub och spred sig sedan till Salesforce-miljöer, vilket exponerade känslig data från hundratals organisationer.
Hur intrånget utvecklades
Mellan mars och juni 2025 fick angripare tillgång till Saleslofts GitHub-konto. De extraherade data från privata arkiv och skapade automatiserade arbetsflöden för att behålla åtkomst. Med denna position rörde sig angriparna vidare in i Salesloft Drifts molninfrastruktur.
Därifrån fångade de OAuth-token kopplade till Salesforce-integrationer. Med dessa token fick de åtkomst till hundratals Salesforce-instanser under augusti och exporterade känslig information från anslutna konton.
Omfattning och konsekvenser
Googles Threat Intelligence Group bekräftade att mer än 700 organisationer kan ha drabbats. Bland offren fanns stora företag som Cloudflare, Zscaler, Palo Alto Networks, Workiva och Tenable.
Angriparna stal värdefulla autentiseringsuppgifter, inklusive AWS-nycklar och Snowflake-token, samt affärsdata som kundregister, supportärenden och kontaktinformation. Omfattningen av stölden gör detta till en av de mest betydande SaaS-relaterade incidenterna på senare år.
Respons och begränsning
Salesloft och Salesforce svarade genom att återkalla alla aktiva Drift OAuth-token. Salesforce tog även bort Drift-integrationen från AppExchange och stängde av drabbade anslutningar. Kunder uppmanades att rotera autentiseringsuppgifter, granska kontohistorik och stärka säkerhetsinställningar.
Åtgärderna begränsade ytterligare utnyttjande men kunde inte förhindra den initiala datastölden. Kampanjen visade hur snabbt stulna token kan användas när angripare väl fått tillgång.
Bredare betydelse och risker
Intrånget visar hur betrodda integrationer och token kan kringgå säkerhetskontroller. Även utan att utnyttja Salesforce direkt kunde angriparna uppnå storskalig åtkomst genom komprometterade GitHub-uppgifter och OAuth-token.
Incidenten understryker behovet av kontinuerlig övervakning, strikt styrning av tredjepartsintegrationer och frekvent rotation av autentiseringsuppgifter. Organisationer måste behandla kodarkiv och molnkopplingar som kritiska tillgångar med samma skyddsnivå som kärninfrastrukturen.
Slutsats
Den massiva Salesforce-läckakampanjen som startade på GitHub representerar en ny våg av hot mot leveranskedjan. Genom att stjäla OAuth-token via GitHub komprometterade angripare hundratals Salesforce-miljöer. Företag måste svara genom att stärka säkerheten kring integrationer, övervaka arkiv noggrant och införa striktare hantering av autentiseringsuppgifter för att förhindra liknande storskaliga intrång.
0 svar till ”Massiv Salesforce-läckakampanj startade på GitHub”