![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Im August 2025 ist es Angreifern gelungen, in die Drift-Salesforce-Integration von Salesloft einzudringen, um Daten wie AWS-Schl\u00fcssel und Snowflake-Tokens zu stehlen. Mit beteiligt wohl ZScaler. Und nun werden immer mehr Opfer\u00a0 (Google, Cloudflare etc.) bekannt. Hier ein kleiner \u00dcberblick, das wird vermutlich noch viel Aufregung geben.<\/p>\n
<\/p>\n
Die Plattform wirbt mit mehr als 5000 Kunden, und darunter sind illustre Namen wie IBM, Shopify, 3M, Citrix, Lexmark, SAP Concur etc. Das Unternehmen preist sich als \"f\u00fchrende KI-Plattform zur Umsatzorchestrierung\".<\/p>\n Dann kommt noch der Begriff Drift ins Spiel, ein AI gest\u00fctzter Chat-Agent. Der Drift AI Chat-Agent interagiert mit Besuchern in personalisierten Echtzeit-Gespr\u00e4chen und soll so f\u00fcr ein besseres Kauferlebnis und qualifiziertere Leads beim Verkauf sorgen.<\/p>\n Salesforce, mit Sitz in San Francisco, bietet Cloud-Computing-Produkte f\u00fcr Unternehmen an und gilt als der weltgr\u00f6\u00dfte Cloud-Softwareanbieter f\u00fcr Unternehmen. Die werben aktuell mit einer AI-gest\u00fctzten CRM-Plattform (\"Mit\u00a0Salesforce<\/em>, dem weltweit f\u00fchrenden CRM mit KI, k\u00f6nnen Unternehmen CRM, KI, Daten und Trust auf einer einheitlichen Einstein 1-Platform zusammenf\u00fchren\".<\/p>\n Salesforce hat weltweit mehr als 150.000 Kunden, darunter rund 90 Prozent der Fortune-500-Unternehmen. Salesforce wird hier im Blog vor allem im Zusammenhang mit Sicherheitsvorf\u00e4llen und DSGVO-Klagen erw\u00e4hnt. Ganz aktuell geht die Meldung um (siehe z.B. hier<\/a> und hier<\/a>), dass Salesforce gerade 4.000 Mitarbeiter im Support durch KI ersetzt hat – beim Verkaufsanruf ist also eine KI dran – l\u00e4uft.<\/p>\n Im Blog-Beitrag\u00a0Schwachstellen in Fortinet FortiWeb; Directus, Hack bei Salesloft und mehr<\/a> hatte ich berichtet, dass es Angreifern gelungen sei, zwischen dem 8. und 18. August 2025 in die Drift-Salesforce-Integration von Salesloft einzudringen.<\/p>\n Im Beitrag schrieb ich, dass Salesloft SalesDrift verwendete, eine Drittanbieterplattform, die den Drift AI-Chat-Agenten mit einer Salesforce-Instanz verbindet. Dies erm\u00f6glicht Konversationen, Leads und Supportf\u00e4lle mit dem Salesforce CRM zu synchronisieren. Genau diese Kombination scheint nun angegriffen worden zu sein. Die Angreifer haben den Zugriff \u00fcber den \"Drift AI-Chat-Agenten\" genutzt, um Daten wie AWS-Schl\u00fcssel und Snowflake-Tokens (0Auth- und Refresh-Tokens) zu stehlen. Dadurch erhielten die Angreifer Zugriff auf die Salesforce-Umgebungen von Kunden und konnten sensible Daten abziehen.<\/p>\n Mandiant weist in\u00a0diesem Beitrag<\/a>\u00a0auf eine weit verbreitete Kampagne zum Datendiebstahl hin, der \u00fcber Salesloft Drift auf Salesforce-Instanzen abzielt.\u00a0Die Kollegen von Bleeping Computer haben die Details in\u00a0diesem Artikel<\/a>\u00a0zusammen getragen.<\/p>\n Im Blog-Beitrag\u00a0Schwachstellen in Fortinet FortiWeb; Directus, Hack bei Salesloft und mehr<\/a> schrieb ich: \"Da d\u00fcrften dann bald die n\u00e4chsten \"Opfer\" dieses Token-Diebstahls bekannt werden\".<\/p>\n Im Beitrag\u00a0Zscaler data breach exposes customer info after Salesloft Drift compromise<\/a> berichten die Kollegen von Bleeping Computer nun, dass der Anbieter Zscaler zu den Opfern des Salesloft-Drift-Hacks geh\u00f6rt. Das Cybersicherheitsunternehmen informiert in einer Mitteilung<\/a>, dass seine Salesforce-Instanz von diesem Supply-Chain-Angriff betroffen war, wodurch Kundendaten offengelegt wurden.<\/p>\n In einem Blog-Beitrag\u00a0The impact of the Salesloft Drift breach on Cloudflare and our customers<\/a> informiert Cloudflare dar\u00fcber (den Kollegen hier<\/a> ist das aufgefallen), dass man selbst und leider auch die Kunden von der Sicherheitsverletzung bei Salesloft Drift betroffen seien. Ein Dritter habe sich Zugang zur eigenen Salesforce-Instanz verschafft, die f\u00fcr den Kundensupport und die interne Kundenfallverwaltung genutzt wird. Diese Daten sind daher als kompromittiert anzusehen.<\/p>\n Bei den meisten dieser Informationen solle es sich nur um Kundenkontaktdaten und grundlegende Support-Fall-Daten handeln. Aber einige Kundensupport-Interaktionen k\u00f6nnen Informationen \u00fcber die Konfiguration eines Kunden offenlegen und sensible Informationen wie Zugriffstoken enthalten.<\/p>\n Da die Support-Fall-Daten von Salesforce den Inhalt von Support-Tickets mit Cloudflare enthalten, sollten alle Informationen, die ein Kunde m\u00f6glicherweise \u00fcber unser Support-System an Cloudflare weitergegeben hat \u2013 einschlie\u00dflich Protokollen, Tokens oder Passw\u00f6rtern \u2013 als kompromittiert betrachtet werden.<\/p>\n Cloudflare empfiehlt daher dringend, alle Anmeldedaten, die Kunden \u00fcber diesen Kanal mitgeteilt haben, zu \u00e4ndern. Das hei\u00dft: Wer die Kronjuwelen bei Cloudflare im Supportfall bei denen eingestellt hat, ist diese jetzt losgeworden.<\/p>\n Es gab eine Warnung von Google, dass der Salesloft-Vorfall einige Google Workspace-Konten betreffe. Die Kollegen von Bleeping Computer haben dies in diesem Beitrag<\/a> aufgegriffen. Die Warnung von Google l\u00e4sst sich hier abrufen.<\/a><\/p>\n Die Tage ging dann eine Warnung um, dass alle Google GMail-Nutzer doch bitte ihr Passwort \u00e4ndern m\u00fcssten, weil auch Google Opfer des obigen Vorfalls geworden sei. Ich war von Leser auf das Thema hingewiesen worden, hatte es aber nicht im Blog, weil ich pr\u00fcfen wollte, was da dran sei. Denn die 2,5 Milliarden GMail-Konten sind besonders abgesichert. Nun berichten die Kollegen von Bleeping Computer<\/a>, dass Google klar stellt, dass man nie GMail-Benutzer aufgefordert habe, ihre Passw\u00f6rter zu \u00e4ndern.<\/p>\n An diesem Fall sieht man wieder, wie so manches Kartenhaus der Vernetzung mit Drittanbietern zusammen bricht und wie dann noch weiteres \"Rauschen\" durch ungeeignete Empfehlungen (GMail Passwort-\u00c4nderung) verbreitet werden. Ich gehe davon aus, dass wir noch einiges zum Salesloft-Drift-Salesforce-Fall h\u00f6ren werden.<\/p>\n \u00c4hnliche Artikel:<\/strong> Im August 2025 ist es Angreifern gelungen, in die Drift-Salesforce-Integration von Salesloft einzudringen, um Daten wie AWS-Schl\u00fcssel und Snowflake-Tokens zu stehlen. Mit beteiligt wohl ZScaler. Und nun werden immer mehr Opfer\u00a0 (Google, Cloudflare etc.) bekannt. Hier ein kleiner \u00dcberblick, das … Weiterlesen Nachfolgend ist von Salesloft, Salesforce und Drift die Rede. Daher einige Bemerkungen, um was es sich handelt. SalesLoft<\/a> ist eine Sales-Engagement-Plattform, die die Kommunikation \u00fcber E-Mail, Telefon und soziale Medien zentralisiert und Teams dabei unterst\u00fctzt, Arbeitsabl\u00e4ufe zu automatisieren und das Engagement zu verfolgen.<\/p>\n
![\"Salesloft\"](\"https:\/\/i.postimg.cc\/7hJ0sKRV\/image.png\")
<\/p>\nDer Salesloft-Hack<\/h2>\n
Die l\u00e4nger werdende Liste an Opfern<\/h2>\n
ZScaler als Opfer<\/h3>\n
Cloudflare auch dabei<\/h3>\n
Verwirrung um Google und GMail<\/h3>\n
\nSchwachstellen in Fortinet FortiWeb; Directus, Hack bei Salesloft und mehr<\/a>
\nZScaler nutzt Kunden-Logs zum AI-Training \u2013 und teilt Daten mit Dritten<\/a>
\nSchwachstellen im ZScaler Client-Connector<\/a>
\nHackergruppe UNC6040 greift Salesforce-Instanzen per Vishing an<\/a>
\nVaronis warnt vor nicht mehr genutzten Salesforce-Sites<\/a>
\nVaronis warnt vor gef\u00e4hrlichen Salesforce-Fehlkonfigurationen<\/a>
\nKlage wegen DSGVO-Verst\u00f6\u00dfen gegen Oracle und Salesforce<\/a>
\nSalesforce kauft Slack f\u00fcr 27,7 Milliarden Dollar<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"