Die massive Salesforce-Datenleck-Kampagne, die auf GitHub begann, zeigt, wie Angreifer Code-Repositories ausnutzten, um OAuth-Tokens zu stehlen. Dieser Supply-Chain-Angriff begann mit unbefugtem Zugriff auf das GitHub-Konto von Salesloft und breitete sich anschließend auf Salesforce-Umgebungen aus, wodurch sensible Daten von Hunderten von Organisationen offengelegt wurden.
Wie der Angriff ablief
Zwischen März und Juni 2025 erhielten Angreifer Zugang zum GitHub-Konto von Salesloft. Sie entnahmen Daten aus privaten Repositories und erstellten automatisierte Workflows, um den Zugriff aufrechtzuerhalten. Mit dieser Position bewegten sich die Angreifer weiter in die Cloud-Infrastruktur von Salesloft Drift.
Dort erbeuteten sie OAuth-Tokens, die mit Salesforce-Integrationen verbunden waren. Mit diesen Tokens griffen sie im August auf Hunderte von Salesforce-Instanzen zu und exportierten sensible Informationen aus verknüpften Konten.
Umfang und Auswirkungen
Googles Threat Intelligence Group bestätigte, dass mehr als 700 Organisationen betroffen sein könnten. Zu den Opfern gehörten große Unternehmen wie Cloudflare, Zscaler, Palo Alto Networks, Workiva und Tenable.
Die Angreifer stahlen wertvolle Zugangsdaten, darunter AWS-Schlüssel und Snowflake-Tokens, sowie Geschäftsdaten wie Kundenakten, Supportfälle und Kontaktdaten. Das Ausmaß des Diebstahls macht diesen Vorfall zu einem der bedeutendsten SaaS-bezogenen Sicherheitsvorfälle der letzten Jahre.
Reaktion und Eindämmung
Salesloft und Salesforce reagierten, indem sie alle aktiven Drift-OAuth-Tokens widerriefen. Salesforce entfernte außerdem die Drift-Integration aus dem AppExchange und deaktivierte betroffene Verbindungen. Kunden wurden aufgefordert, Zugangsdaten zu rotieren, Kontoaktivitäten zu prüfen und Sicherheitseinstellungen zu verstärken.
Diese Maßnahmen begrenzten eine weitere Ausnutzung, konnten den ursprünglichen Diebstahl jedoch nicht verhindern. Die Kampagne zeigte, wie schnell gestohlene Tokens eingesetzt werden können, sobald Angreifer Zugang erhalten.
Größere Bedeutung und Risiken
Das Datenleck verdeutlicht, wie vertrauenswürdige Integrationen und Tokens Sicherheitskontrollen umgehen können. Auch ohne Salesforce direkt auszunutzen, erreichten die Angreifer großflächigen Zugriff durch kompromittierte GitHub-Anmeldedaten und OAuth-Tokens.
Der Vorfall unterstreicht die Notwendigkeit kontinuierlicher Überwachung, strenger Verwaltung von Drittanbieter-Integrationen und häufiger Rotation von Zugangsdaten. Organisationen müssen Repositories und Cloud-Konnektoren als kritische Assets behandeln, die denselben Schutz erfordern wie die Kerninfrastruktur.
Fazit
Die massive Salesforce-Datenleck-Kampagne, die auf GitHub begann, stellt eine neue Welle von Supply-Chain-Bedrohungen dar. Durch den Diebstahl von OAuth-Tokens über GitHub kompromittierten Angreifer Hunderte von Salesforce-Umgebungen. Unternehmen müssen reagieren, indem sie die Sicherheit von Integrationen verstärken, Repositories genau überwachen und strengere Richtlinien für den Umgang mit Zugangsdaten einführen, um ähnliche groß angelegte Angriffe zu verhindern.
0 Kommentare zu „Massive Salesforce-Databreach-Kampagne begann auf GitHub“