Den massive Salesforce-datainnbruddskampanjen som startet på GitHub viser hvordan angripere utnyttet kodearkiver for å stjele OAuth-tokens. Denne forsyningskjedeangrepet begynte med uautorisert tilgang til Saleslofts GitHub og spredte seg videre til Salesforce-miljøer, noe som eksponerte sensitiv data fra hundrevis av organisasjoner.
Hvordan innbruddet utviklet seg
Mellom mars og juni 2025 fikk angripere tilgang til Saleslofts GitHub-konto. De hentet ut data fra private arkiver og opprettet automatiserte arbeidsflyter for å opprettholde tilgang. Med denne posisjonen beveget angriperne seg videre inn i Salesloft Drifts skytjenester.
Derfra fanget de opp OAuth-tokens knyttet til Salesforce-integrasjoner. Med disse tokenene fikk de tilgang til hundrevis av Salesforce-installasjoner i løpet av august og eksporterte sensitiv informasjon fra tilknyttede kontoer.
Omfang og konsekvenser
Googles Threat Intelligence Group bekreftet at mer enn 700 organisasjoner kan ha blitt berørt. Blant ofrene var store selskaper som Cloudflare, Zscaler, Palo Alto Networks, Workiva og Tenable.
Angriperne stjal verdifulle legitimasjoner, inkludert AWS-nøkler og Snowflake-tokens, samt forretningsdata som kunderegistre, supportsaker og kontaktinformasjon. Omfanget gjør dette til en av de mest betydelige SaaS-relaterte hendelsene de siste årene.
Respons og begrensning
Salesloft og Salesforce reagerte ved å tilbakekalle alle aktive Drift OAuth-tokens. Salesforce fjernet også Drift-integrasjonen fra AppExchange og deaktiverte berørte tilkoblinger. Kunder ble oppfordret til å rotere legitimasjoner, gjennomgå kontohistorikk og styrke sikkerhetsinnstillingene.
Disse tiltakene begrenset videre utnyttelse, men kunne ikke forhindre det første datatyveriet. Kampanjen viste hvor raskt stjålne tokens kan brukes når angripere først har fått tilgang.
Bredere betydning og risikoer
Innbruddet viser hvordan betrodde integrasjoner og tokens kan omgå sikkerhetskontroller. Selv uten å utnytte Salesforce direkte, oppnådde angriperne storstilt tilgang gjennom kompromitterte GitHub-opplysninger og OAuth-tokens.
Hendelsen understreker behovet for kontinuerlig overvåking, streng styring av tredjepartsintegrasjoner og hyppig rotasjon av legitimasjoner. Organisasjoner må behandle kodearkiver og skytilkoblinger som kritiske eiendeler som krever samme beskyttelse som kjerneinfrastrukturen.
Konklusjon
Den massive Salesforce-datainnbruddskampanjen som startet på GitHub representerer en ny bølge av forsyningskjedetrusler. Ved å stjele OAuth-tokens via GitHub kompromitterte angripere hundrevis av Salesforce-miljøer. Selskaper må svare ved å styrke sikkerheten rundt integrasjoner, overvåke arkiver nøye og innføre strengere håndtering av legitimasjoner for å forhindre lignende storskala innbrudd.
0 responses to “Massiv Salesforce-datakampanje startet på GitHub”