2025年8月發生的Salesloft Drift數據泄露事件堪稱SaaS史上最嚴重的供應鏈攻擊之一，展示了單一受損集成如何引發大規模組織數據暴露。威脅組織UNC6395通過利用OAuth令牌漏洞，獲取了包括Cloudflare、Palo Alto Networks和Zscaler等700多家企業的敏感數據。該事件揭示了第三方應用安全的關鍵弱點，為企業提升網絡韌性提供了寶貴經驗。

初始入侵：GitHub賬戶失陷

攻擊時間線顯示，UNC6395早在事件公開前數月就開始了系統性入侵。據Mandiant調查，該組織于2025年3月首次獲取Salesloft的GitHub賬戶訪問權限，并持續控制至2025年6月。這一長達三個月的初始入侵暴露出嚴重的安全監測失效。

在此期間，攻擊者對Salesloft和Drift應用環境進行了全面偵察：系統下載多個代碼庫內容、添加訪客用戶、建立便于后續大規模數據外泄的工作流程。這種長期潛伏使攻擊者能深入了解目標環境并識別最有價值的攻擊路徑。

GitHub入侵事件凸顯了現代軟件開發中的基礎性安全挑戰——代碼倉庫和開發基礎設施的保護。Salesloft尚未披露初始入侵的具體方式，這種透明度缺失遭到安全分析師的批評，他們強調了解根本原因對有效補救至關重要。

Drift平臺利用與OAuth令牌竊取

完成偵察后，攻擊者轉向利用Drift的亞馬遜云服務(AWS)環境，成功獲取Drift客戶技術集成的OAuth令牌。這一供應鏈漏洞導致數百家企業遭受連鎖攻擊。

OAuth令牌作為數字密鑰，允許應用無需密碼驗證即可跨平臺訪問用戶數據。在Drift案例中，這些令牌使聊天機器人平臺能與Salesforce、Google Workspace等業務系統集成。通過竊取令牌，UNC6395獲得了同等信任權限，繞過了傳統安全控制。

攻擊者展現了對云基礎設施和令牌管理系統的深刻理解，這種技術復雜度是高級持續性威脅(APT)組織的典型特征。2025年8月8日至18日期間，UNC6395針對通過Drift集成的Salesforce實例發起系統性數據外泄攻擊，主要目標是憑證收集而非即時數據變現。攻擊者從外泄數據中系統搜索以下高價值憑證：

• 亞馬遜云服務(AWS)訪問密鑰(AKIA格式)
• Snowflake相關訪問令牌
• VPN憑證和配置信息
• 通用密碼和認證字符串
• API密鑰和服務賬戶憑證

這種憑證收集策略旨在為后續攻擊和橫向移動創造條件，使攻擊者能長期訪問遠超Salesforce初始入侵范圍的云基礎設施和關鍵業務系統。

受影響企業

此次泄露影響范圍驚人，Google威脅情報組確認數百家企業受影響，其中包括多家知名網絡安全廠商：

• Cloudflare：確認2025年8月12-17日間Salesforce案例對象遭未授權訪問，發現并輪換了104個API令牌
• Palo Alto Networks：披露包含業務聯系信息和基礎案例數據的CRM平臺遭入侵
• Zscaler：確認Salesforce數據受影響，包括客戶許可和商業信息
• Tenable：報告客戶支持案例信息和業務聯系人詳情暴露
• Proofpoint：多份安全公告確認受影響
• Dynatrace：報告業務聯系信息有限暴露，核心產品未受影響
• Qualys：確認Salesforce有限訪問，生產環境未受影響
• CyberArk：披露CRM數據泄露，強調客戶憑證未暴露
• Wealthsimple：報告更廣泛影響，包括客戶政府ID和個人信息

根本原因分析：系統性安全失效

Salesloft Drift泄露事件揭示了多個相互關聯的安全失效：

• GitHub入侵方面：關鍵開發賬戶訪問控制和監控不足；未檢測未授權倉庫訪問；惡意活動三個月未被發現
• OAuth令牌管理：高價值認證令牌保護不足；開發與生產環境隔離不充分；OAuth令牌使用模式異常檢測缺失
• 第三方集成監管：OAuth授權范圍過度寬松；第三方應用行為監控不足；連接應用定期安全評估缺失
• 檢測響應缺陷：API使用模式實時監控不足；批量數據異常提取活動識別延遲；廠商與客戶間威脅情報共享不足

緩解策略

基于事件教訓，企業應實施全面緩解策略：

(1) 即時響應措施

• 強化OAuth令牌安全：實施基于mTLS或DPoP的發送方約束訪問令牌；建立公共客戶端刷新令牌輪換策略；部署OAuth令牌使用異常實時監控
• 第三方集成審查：全面審計所有連接應用及其權限；對OAuth范圍和API訪問實施最小權限原則；建立關鍵集成定期安全評估機制
• 增強監控檢測：部署API使用模式和批量數據操作高級分析；建立可疑SOQL查詢活動實時告警；創建合法應用使用行為基線

(2) 戰略安全改進

• 供應鏈風險管理：實施全面的第三方風險管理計劃；集成前進行嚴格供應商安全評估；建立供應商安全態勢持續監控；制定合同安全要求和SLA
• 零信任架構實施：對所有第三方集成應用零信任原則；實施持續驗證和最小權限訪問控制；部署網絡分段限制橫向移動可能
• 開發安全增強：為代碼倉庫實施全面安全控制；部署開發環境訪問實時監控；建立安全軟件開發生命周期(SDLC)實踐

該事件表明，復雜威脅組織如何利用信任關系實現同時對數百家企業的廣泛影響。隨著供應鏈攻擊日益復雜化，從此事件汲取的經驗對防范未來威脅至關重要。關鍵不僅在于實施單項安全控制，更要建立能適應現代網絡威脅動態特性的全面集成安全方案。