Salesforce-Breach: ShinyHunters will 1,5 Milliarden Datensätze abgezogen haben

Wenn es denn stimmt, dürfte das noch böse ausgehen. Die Cyber-Gruppe ShinyHunters behauptet, über den Salesloft-Drift-Hack 1,5 Milliarden Datensätze von der CRM-Plattform Salesforce abgezogen zu haben. Das dürfte deren Kunden dann noch arge Kopfschmerzen bereiten, wurden doch in den letzten Tagen zahlreiche Hacks von Salesforce-Kunden bekannt.

Hintergrund: Salesloft-Drift-Hack

Im August 2025 ist es Angreifern gelungen, in die Drift-Salesforce-Integration von Salesloft einzudringen, um Daten wie AWS-Schlüssel und Snowflake-Tokens zu stehlen. SalesLoft ist eine Sales-Engagement-Plattform, die die Kommunikation über E-Mail, Telefon und soziale Medien zentralisiert und Teams dabei unterstützt, Arbeitsabläufe zu automatisieren und das Engagement zu verfolgen.

Drift ist ein AI gestützter Chat-Agent, der mit Besuchern in personalisierten Echtzeit-Gesprächen interagiert und so für ein besseres Kauferlebnis und qualifiziertere Leads beim Verkauf sorgen soll.

Salesforce, mit Sitz in San Francisco, bietet Cloud-Computing-Produkte für Unternehmen an und gilt als der weltgrößte Cloud-Softwareanbieter für Unternehmen. Das Unternehmen hat eine AI-gestützte CRM-Plattform im Angebot, die von vielen Kunden für die Kundenbetreuung genutzt wird. Salesforce hat weltweit mehr als 150.000 Kunden, darunter rund 90 Prozent der Fortune-500-Unternehmen.

Im Blog-Beitrag Schwachstellen in Fortinet FortiWeb; Directus, Hack bei Salesloft und mehr hatte ich berichtet, dass es Angreifern gelungen sei, zwischen dem 8. und 18. August 2025 in die Drift-Salesforce-Integration von Salesloft einzudringen.

Die Angreifer haben den Zugriff über den "Drift AI-Chat-Agenten" genutzt, um Daten wie AWS-Schlüssel und Snowflake-Tokens (0Auth- und Refresh-Tokens) zu stehlen. Dadurch erhielten die Angreifer Zugriff auf die Salesforce-Umgebungen von Kunden und konnten sensible Daten abziehen. Inzwischen sind um die 30 Opfer namentlich bekannt, die über diesen Hack geschädigt wurden (siehe Desaster Salesloft / Salesforce-Hack: Google, Cloudflare & Co. unter den Opfern).

Noch ein paar Details zum Salesloft-Angriff

Es wurde von Lesern gefragt, ob mir Details zum Hack der Salesloft-Drift-Integration in Salesforce bekannt seien. Es ist in den meisten Internetbeiträgen nur die Rede davon, dass "über die Salesloft-Drift-Integration" AWS und Snowflake Tokens entwendet wurden. Auf dieser Mandiant-Seite bin ich zu den mutmaßlichen Details fündig geworden.

• Zwischen März und Juni 2025 griffen die Cyberkriminellen auf das GitHub-Konto von Salesloft zu. Dem Angreifer war es möglich, Inhalte aus mehreren Repositories herunterzuladen, einen Gastbenutzer hinzufügen und Workflows einrichten.
• Die Untersuchung von Mandiant ergab zudem Aufklärungsaktivitäten des Thread-Actors zwischen März und Juni 2025 in den Anwendungsumgebungen von Salesloft und Drift.
• Anschließend gelang den Cyber-Kriminellen ein Zugriff auf die AWS-Umgebung von Drift, worauf er OAuth-Token für die Technologieintegrationen von Drift-Kunden erlangte.
• Der Angreifer nutzte die gestohlenen OAuth-Token, um über Drift-Integrationen auf weitere Daten (bei Salesforce) zuzugreifen.

Der Vorfall zeigt die fatalen Abhängigkeiten der Branche von Drittanbietern. Einer wird gehackt und der Angreifer kann sich in der SaaS-Kette durchhangeln, oAuth-Tokens für den Zugriff auf Kundenkonten erbeuten und dann diese Kunden, sowie deren Kunden kompromittieren. Salesloft hat nun die Drift-Infrastruktur, die App und den Code isoliert und am 5. September 2025 offline genommen.

Außerdem wurden die Anmeldedaten geändert und eine stärkere Segmentierung zwischen Salesloft und Drift vorgenommen. Es wird empfohlen, alle Drift-API-Schlüssel zu widerrufen. Am 7. September stellte Salesforce die Integrationen mit Salesloft wieder her. Allerdings bleibt Drift bis auf Weiteres deaktiviert.

ShineyHunters: 1,5 Milliarden Salesforce-Datensätze erbeutet?

ShinyHunters, eine Gruppe von Cyberkriminellen, die auf Erpressung aus, behauptet nun, über 1,5 Milliarden Salesforce-Datensätze von 760 Unternehmen gestohlen zu haben. Dazu sollen Sie über kompromittierte Salesloft Drift OAuth-Token in der Lage gewesen sein. Dies berichtet Lawrence Abrams in diesem Artikel auf Bleeping Computer.

Der Thread-Actor greift seit einem Jahr Salesforce-Kunden über deren CRM-Plattform an. Dabei kommen Social Engineering und manipulierte OAuth-Anwendungen zum Einsatz, um in Salesforce-Instanzen einzudringen und Daten herunterzuladen. Anschließend werden die Opfer mit den gestohlenen Daten erpresst, damit diese zur Zahlung eines Lösegelds bereit sind, um die Veröffentlichung der Daten zu verhindern.

Es scheint es sich bei den Angreifern um einen Zusammenschluss von ShinyHunters, Scattered Spider und Lapsus$ zu handeln, die nun unter "Scattered Lapsus$ Hunters" auftreten. Google verwendet die Bezeichnungen UNC6040 und UNC6395 für diese Gruppierungen.

Ein massives Problem scheint dabei der sorglose Umgang mit Zugangstokens bzw. die Integration verschiedener Plattformen zu sein. Da reicht es dann, ein Konto auf Plattform A zu kompromittieren, um auf Konten von Plattform B zugreifen zu können. Und wenn sich auf Plattform B noch Informationen für weitere Kundenzugänge finden, geht das Spiel dann munter weiter und die Angreifer können sich an der SaaS-Kette entlang hangeln.

Die Tage habe ich bei The Register noch diesen Artikel gesehen, wo eine Organisation per Ransomware lahm gelegt wurde, weil die Recovery-Keys von Konten im Klartext im IT-Netzwerk aufzufinden waren.

Ähnliche Artikel:
Schwachstellen in Fortinet FortiWeb; Directus, Hack bei Salesloft und mehr
Desaster Salesloft / Salesforce-Hack: Google, Cloudflare & Co. unter den Opfern