Im August 2025 ist es Angreifern gelungen, in die Drift-Salesforce-Integration von Salesloft einzudringen, um Daten wie AWS-Schlüssel und Snowflake-Tokens zu stehlen. Mit beteiligt wohl ZScaler. Und nun werden immer mehr Opfer (Google, Cloudflare etc.) bekannt. Hier ein kleiner Überblick, das wird vermutlich noch viel Aufregung geben.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Hintergrundinformation Salesloft, Salesforce und Drift
Nachfolgend ist von Salesloft, Salesforce und Drift die Rede. Daher einige Bemerkungen, um was es sich handelt. SalesLoft ist eine Sales-Engagement-Plattform, die die Kommunikation über E-Mail, Telefon und soziale Medien zentralisiert und Teams dabei unterstützt, Arbeitsabläufe zu automatisieren und das Engagement zu verfolgen.
Die Plattform wirbt mit mehr als 5000 Kunden, und darunter sind illustre Namen wie IBM, Shopify, 3M, Citrix, Lexmark, SAP Concur etc. Das Unternehmen preist sich als "führende KI-Plattform zur Umsatzorchestrierung".
Dann kommt noch der Begriff Drift ins Spiel, ein AI gestützter Chat-Agent. Der Drift AI Chat-Agent interagiert mit Besuchern in personalisierten Echtzeit-Gesprächen und soll so für ein besseres Kauferlebnis und qualifiziertere Leads beim Verkauf sorgen.
Salesforce, mit Sitz in San Francisco, bietet Cloud-Computing-Produkte für Unternehmen an und gilt als der weltgrößte Cloud-Softwareanbieter für Unternehmen. Die werben aktuell mit einer AI-gestützten CRM-Plattform ("Mit Salesforce, dem weltweit führenden CRM mit KI, können Unternehmen CRM, KI, Daten und Trust auf einer einheitlichen Einstein 1-Platform zusammenführen".
Salesforce hat weltweit mehr als 150.000 Kunden, darunter rund 90 Prozent der Fortune-500-Unternehmen. Salesforce wird hier im Blog vor allem im Zusammenhang mit Sicherheitsvorfällen und DSGVO-Klagen erwähnt. Ganz aktuell geht die Meldung um (siehe z.B. hier und hier), dass Salesforce gerade 4.000 Mitarbeiter im Support durch KI ersetzt hat – beim Verkaufsanruf ist also eine KI dran – läuft.
Der Salesloft-Hack
Im Blog-Beitrag Schwachstellen in Fortinet FortiWeb; Directus, Hack bei Salesloft und mehr hatte ich berichtet, dass es Angreifern gelungen sei, zwischen dem 8. und 18. August 2025 in die Drift-Salesforce-Integration von Salesloft einzudringen.
Im Beitrag schrieb ich, dass Salesloft SalesDrift verwendete, eine Drittanbieterplattform, die den Drift AI-Chat-Agenten mit einer Salesforce-Instanz verbindet. Dies ermöglicht Konversationen, Leads und Supportfälle mit dem Salesforce CRM zu synchronisieren. Genau diese Kombination scheint nun angegriffen worden zu sein. Die Angreifer haben den Zugriff über den "Drift AI-Chat-Agenten" genutzt, um Daten wie AWS-Schlüssel und Snowflake-Tokens (0Auth- und Refresh-Tokens) zu stehlen. Dadurch erhielten die Angreifer Zugriff auf die Salesforce-Umgebungen von Kunden und konnten sensible Daten abziehen.
Mandiant weist in diesem Beitrag auf eine weit verbreitete Kampagne zum Datendiebstahl hin, der über Salesloft Drift auf Salesforce-Instanzen abzielt. Die Kollegen von Bleeping Computer haben die Details in diesem Artikel zusammen getragen.
Die länger werdende Liste an Opfern
Im Blog-Beitrag Schwachstellen in Fortinet FortiWeb; Directus, Hack bei Salesloft und mehr schrieb ich: "Da dürften dann bald die nächsten "Opfer" dieses Token-Diebstahls bekannt werden".
ZScaler als Opfer
Im Beitrag Zscaler data breach exposes customer info after Salesloft Drift compromise berichten die Kollegen von Bleeping Computer nun, dass der Anbieter Zscaler zu den Opfern des Salesloft-Drift-Hacks gehört. Das Cybersicherheitsunternehmen informiert in einer Mitteilung, dass seine Salesforce-Instanz von diesem Supply-Chain-Angriff betroffen war, wodurch Kundendaten offengelegt wurden.
Cloudflare auch dabei
In einem Blog-Beitrag The impact of the Salesloft Drift breach on Cloudflare and our customers informiert Cloudflare darüber (den Kollegen hier ist das aufgefallen), dass man selbst und leider auch die Kunden von der Sicherheitsverletzung bei Salesloft Drift betroffen seien. Ein Dritter habe sich Zugang zur eigenen Salesforce-Instanz verschafft, die für den Kundensupport und die interne Kundenfallverwaltung genutzt wird. Diese Daten sind daher als kompromittiert anzusehen.
Bei den meisten dieser Informationen solle es sich nur um Kundenkontaktdaten und grundlegende Support-Fall-Daten handeln. Aber einige Kundensupport-Interaktionen können Informationen über die Konfiguration eines Kunden offenlegen und sensible Informationen wie Zugriffstoken enthalten.
Da die Support-Fall-Daten von Salesforce den Inhalt von Support-Tickets mit Cloudflare enthalten, sollten alle Informationen, die ein Kunde möglicherweise über unser Support-System an Cloudflare weitergegeben hat – einschließlich Protokollen, Tokens oder Passwörtern – als kompromittiert betrachtet werden.
Cloudflare empfiehlt daher dringend, alle Anmeldedaten, die Kunden über diesen Kanal mitgeteilt haben, zu ändern. Das heißt: Wer die Kronjuwelen bei Cloudflare im Supportfall bei denen eingestellt hat, ist diese jetzt losgeworden.
Verwirrung um Google und GMail
Es gab eine Warnung von Google, dass der Salesloft-Vorfall einige Google Workspace-Konten betreffe. Die Kollegen von Bleeping Computer haben dies in diesem Beitrag aufgegriffen. Die Warnung von Google lässt sich hier abrufen.
Die Tage ging dann eine Warnung um, dass alle Google GMail-Nutzer doch bitte ihr Passwort ändern müssten, weil auch Google Opfer des obigen Vorfalls geworden sei. Ich war von Leser auf das Thema hingewiesen worden, hatte es aber nicht im Blog, weil ich prüfen wollte, was da dran sei. Denn die 2,5 Milliarden GMail-Konten sind besonders abgesichert. Nun berichten die Kollegen von Bleeping Computer, dass Google klar stellt, dass man nie GMail-Benutzer aufgefordert habe, ihre Passwörter zu ändern.
An diesem Fall sieht man wieder, wie so manches Kartenhaus der Vernetzung mit Drittanbietern zusammen bricht und wie dann noch weiteres "Rauschen" durch ungeeignete Empfehlungen (GMail Passwort-Änderung) verbreitet werden. Ich gehe davon aus, dass wir noch einiges zum Salesloft-Drift-Salesforce-Fall hören werden.
Ähnliche Artikel:
Schwachstellen in Fortinet FortiWeb; Directus, Hack bei Salesloft und mehr
ZScaler nutzt Kunden-Logs zum AI-Training – und teilt Daten mit Dritten
Schwachstellen im ZScaler Client-Connector
Hackergruppe UNC6040 greift Salesforce-Instanzen per Vishing an
Varonis warnt vor nicht mehr genutzten Salesforce-Sites
Varonis warnt vor gefährlichen Salesforce-Fehlkonfigurationen
Klage wegen DSGVO-Verstößen gegen Oracle und Salesforce
Salesforce kauft Slack für 27,7 Milliarden Dollar
MVP: 2013 – 2016
Moin .. Exclaimer (E-Mail Signaturen) hatte uns gestern auch schon infomiert.
Die hat es auch erwischt über einen Chatbot von Salesloft bei Zendesk und Salesforce.
Hallo Frank,
hast Du mehr Infos hierzu? Habe auch einen Kunden der Exclaimer einsetzt.
Grüße Marco
Leider nein .. es gab bis jetzt nur eine E-Mail dazu und keine Antworten auf Fragen.
—–
Notice of Data Security Incident Involving a Third-Party Integration
We value the trust our customers and partners place in us, and we take the protection of your data extremely seriously.
We are writing to inform you of a recent security incident involving a third-party integration. Importantly, no passwords, financial data, or login credentials were compromised. Some business contact information, however, was accessed.
This notice outlines what happened, what data was involved, and the steps we are taking to safeguard you and your organization.
——
Incident Summary
We recently identified unauthorized data access through Drift, an AI-powered chatbot owned by Salesloft, which had been connected to our Salesforce and Zendesk platforms. Once we became aware of the issue, we immediately disabled all Drift integrations.
Our investigation, conducted in coordination with Zendesk and Salesloft, confirmed that certain Zendesk and Salesforce data was accessed. To be clear, Exclaimer's own systems were not breached. The accessed data included business email addresses associated with your organization, including this address.
—–
What Information Was Accessed
The following types of information were accessed:
• Company/organization names and addresses
• Employee email addresses submitted in support tickets
• Ticket metadata (e.g., subject lines, initial issue descriptions, requester names, and associated organizations)
The following were not accessed:
• Passwords or login credentials
• Payment or billing information
• Email content beyond the initial ticket submission
• Sensitive financial or personal data
—–
What This Means for You
The primary potential risk is phishing or social engineering attempts using contact details from support tickets.
—–
What You Can Do
• Be cautious: Avoid clicking on links or opening attachments in emails from unfamiliar senders.
• Verify sources: If you receive a message claiming to be from Exclaimer and are unsure, contact your account representative directly.
• Report concerns: If you suspect fraudulent activity, please notify your IT security team and inform us by providing the details below.
—–
What Exclaimer Is Doing
We are treating this incident with the utmost seriousness and have taken immediate action, including:
• Disabling all Drift integrations across our systems
• Notifying the UK Information Commissioner's Office (ICO)
• Working closely with Salesloft (Drift) and Zendesk to complete the investigation
• Engaging leading forensic specialists to validate our investigation and containment steps
• Strengthening third-party access and offboarding processes, including token revocation, to prevent recurrence
—-
1x bla unterschlagen
—–
We sincerely regret that this incident occurred and remain fully committed to transparency. We will continue to update you as our investigation progresses and as we receive further information from Salesloft (Drift).
Thank you for your continued trust and understanding.
Sincerely,
Rob Singer
CEO, Exclaimer
this escelated quickly. how it started:
https://www.golem.de/news/digitale-arbeitskraefte-salesforce-will-wegen-ki-keine-neuen-entwickler-einstellen-2503-193854.html
oder auch
https://www.golem.de/news/kuenstliche-intelligenz-salesforce-ersetzt-tausende-angestellte-durch-ki-agenten-2509-199726.html
Ja genau.
Aber das ist nur die halbe Wahrheit.
Zitat:
"Erst Ende Juli 2025 hat Benioff in einem Interview mit dem Medium "Fortune" beteuert, dass KI nicht zu Massenarbeitslosigkeit führen werde. Jegliche Bedenken über mögliche Entlassungen wies er zu diesem Zeitpunkt zurück. Einem Bericht des Portals "Financial Express" zufolge habe der Firmenchef auch kürzlich noch betont, dass KI zwar die Produktivität steigere, aber keine Arbeitnehmer ersetze, weil sie nicht über die erforderliche Genauigkeit verfüge."
Benioff handelt wohl nach dem Grundsatz:
Was kümmert mich mein Geschwätz von gestern.
So ist das, Zeiten ändern sich.
im Juli zeichnete sich wohl bereits ab, was im August dann auch passiert ist? ;-)
Für mich hat Benioff eher keine Ahnung, was das eigene Unternehmen macht, wie es funktioniert, was das Unternehmen so macht und ansonsten auch eher eine labile Persönlichkeit in Hinblick auf Trends und Verbindlichkeit von Aussagen.
Du erklärst uns auch bestimmt, was die Zahl der Entwickler bei Salesforce damit zu tun hat, dass sich das Tool von SalesSloft Access Tokens hat klauen lassen?
Es geht um weniger Arbeitskräfte und Tech Unternehmen axen immer zuerst dort, wo die vermeintlichen "low hanging fruits" sind… im Testing und QA… und da werden genauso Entwickler benötigt…
Ein sauberes UI/UX würde einem Unbedarften User sofort mitteilen: "Achtung, Deine Eingaben sehen so aus, als ob Du im Ticket Zugangsdaten oder Tokens hinterlegt hast, bist Du Dir sicher, dass Du das willst?"
Dafür bräuchte man noch nicht mal eine KI sondern einfache if-Abfragen…
Das nennt man ein sauberes "defensives" Vorgehen… Sanitation, Parsing und Encoding von Input/Outputwerten, seit Jahrzehnten Usus. Nennt man auch Security and Privacy by Default und ist seit 2016 zumindest für uns in der EU Vorgabe… sollte es sein….
Die ganzen hippen Vibe AI Coder und Entscheider von heute haben noch einen langen Weg zu gehen…
Aber was soll's, sollen Sie alle mit Ihrem Müll untergehen… und lichterloh brennen… die natürliche Selektion in der IT… finde ich gut.
"ungeeignete Empfehlungen (GMail Passwort-Änderung)" – Panik, Panik, über alles.
Wenn solche "Empfehlungen" nicht von den betreffenden Stellen selbst (also hier Google) kommen, sollten sie auch nicht verbreitet werden.
burn baby burn ;-P
Wir brauchen mehr solcher Vorfälle! Nur dann ändert sich vielleicht mal was.
Wurde auch benachrichtigt, u.a. von Palo Alto :(
Es ist einfach Mist, diese Cloudlösungen mit vielen Akteuren, wo jeder einzelne soetwas verursachen kann.
Viele Köche und so…
Cloudlösungen an sich sind Mist!
Seine eh schon vorhandenen Abhängigkeiten potenziert man noch, wenn man Cloudlösungen nutzt.
Ziel sollte es eigentlich sein, seine Abhängigkeiten zu verkleinern, sie möglichst klein zu halten.
Mit der Cloud geht man genau den umgekehrten Weg.
und man macht das weshalb? Genau man ist selbst dafür Verantwortlich!
Ich les' nur Opfer, Opfer, Opfer (8 Treffer im Text). Sind wir hier auf dem Multikultikiez? Geht der Spendenhut um für Salesloft, Google, Cloudflare etc.?
Ja, es gibt Geschädigte. Aber das sind aus massgeblicher Perspektive nicht die genannten Unternehmen sondern deren Kunden, Menschen aus Fleisch und Blut, Du und ich. Wenn die Unternehmen den Rädern an denen sie drehen, sicherheitstechnisch nicht gewachsen sind, sollen sie die Finger davon lassen und nicht die Allgemeinheit irgendwelchen Internetganoven ausliefern.