Den massive Salesforce-brudkampagne, der startede på GitHub, viser hvordan angribere udnyttede kodearkiver til at stjæle OAuth-tokens. Dette forsyningskædeangreb begyndte med uautoriseret adgang til Saleslofts GitHub og spredte sig videre til Salesforce-miljøer, hvor det eksponerede følsomme data fra hundredvis af organisationer.
Hvordan bruddet udviklede sig
Mellem marts og juni 2025 fik angribere adgang til Saleslofts GitHub-konto. De hentede data fra private arkiver og oprettede automatiserede workflows for at fastholde adgangen. Med denne position bevægede angriberne sig videre ind i Salesloft Drifts cloud-infrastruktur.
Derfra opsnappede de OAuth-tokens knyttet til Salesforce-integrationer. Med disse tokens fik de adgang til hundredvis af Salesforce-instanser i løbet af august og eksporterede følsomme oplysninger fra tilknyttede konti.
Omfang og konsekvenser
Googles Threat Intelligence Group bekræftede, at mere end 700 organisationer kan være blevet ramt. Blandt ofrene var store virksomheder som Cloudflare, Zscaler, Palo Alto Networks, Workiva og Tenable.
Angriberne stjal værdifulde legitimationsoplysninger, herunder AWS-nøgler og Snowflake-tokens, samt forretningsdata som kunderegistre, supportsager og kontaktoplysninger. Omfanget gør dette til en af de mest betydningsfulde SaaS-relaterede hændelser i de seneste år.
Respons og begrænsning
Salesloft og Salesforce reagerede ved at tilbagekalde alle aktive Drift OAuth-tokens. Salesforce fjernede også Drift-integrationen fra AppExchange og deaktiverede berørte forbindelser. Kunder blev opfordret til at rotere legitimationsoplysninger, gennemgå kontohistorik og styrke sikkerhedsindstillingerne.
Disse tiltag begrænsede yderligere udnyttelse, men kunne ikke forhindre det oprindelige datatyveri. Kampagnen viste, hvor hurtigt stjålne tokens kan udnyttes, når angribere først har fået adgang.
Bredere betydning og risici
Bruddet viser, hvordan betroede integrationer og tokens kan omgå sikkerhedskontroller. Selv uden at kompromittere Salesforce direkte opnåede angriberne omfattende adgang gennem kompromitterede GitHub-oplysninger og OAuth-tokens.
Hændelsen understreger behovet for kontinuerlig overvågning, streng styring af tredjepartsintegrationer og hyppig rotation af legitimationsoplysninger. Organisationer skal behandle kodearkiver og cloud-forbindelser som kritiske aktiver, der kræver samme beskyttelse som kerneinfrastrukturen.
Konklusion
Den massive Salesforce-brudkampagne, der startede på GitHub, repræsenterer en ny bølge af trusler mod forsyningskæden. Ved at stjæle OAuth-tokens gennem GitHub kompromitterede angribere hundredvis af Salesforce-miljøer. Virksomheder må reagere ved at styrke sikkerheden omkring integrationer, overvåge arkiver nøje og indføre strengere styring af legitimationsoplysninger for at forhindre lignende storskala brud.
0 svar til “Massiv Salesforce-brudkampagne startede på GitHub”