![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Wenn es denn stimmt, d\u00fcrfte das noch b\u00f6se ausgehen. Die Cyber-Gruppe ShinyHunters behauptet, \u00fcber den Salesloft-Drift-Hack 1,5 Milliarden Datens\u00e4tze von der CRM-Plattform Salesforce abgezogen zu haben. Das d\u00fcrfte deren Kunden dann noch arge Kopfschmerzen bereiten, wurden doch in den letzten Tagen zahlreiche Hacks von Salesforce-Kunden bekannt.<\/p>\n
<\/p>\n
Drift ist ein AI gest\u00fctzter Chat-Agent, der mit Besuchern in personalisierten Echtzeit-Gespr\u00e4chen interagiert und so f\u00fcr ein besseres Kauferlebnis und qualifiziertere Leads beim Verkauf sorgen soll.<\/p>\n Salesforce, mit Sitz in San Francisco, bietet Cloud-Computing-Produkte f\u00fcr Unternehmen an und gilt als der weltgr\u00f6\u00dfte Cloud-Softwareanbieter f\u00fcr Unternehmen. Das Unternehmen hat eine AI-gest\u00fctzte CRM-Plattform im Angebot, die von vielen Kunden f\u00fcr die Kundenbetreuung genutzt wird.\u00a0Salesforce hat weltweit mehr als 150.000 Kunden, darunter rund 90 Prozent der Fortune-500-Unternehmen.<\/p>\n Im Blog-Beitrag\u00a0Schwachstellen in Fortinet FortiWeb; Directus, Hack bei Salesloft und mehr<\/a> hatte ich berichtet, dass es Angreifern gelungen sei, zwischen dem 8. und 18. August 2025 in die Drift-Salesforce-Integration von Salesloft einzudringen.<\/p>\n Die Angreifer haben den Zugriff \u00fcber den \"Drift AI-Chat-Agenten\" genutzt, um Daten wie AWS-Schl\u00fcssel und Snowflake-Tokens (0Auth- und Refresh-Tokens) zu stehlen. Dadurch erhielten die Angreifer Zugriff auf die Salesforce-Umgebungen von Kunden und konnten sensible Daten abziehen. Inzwischen sind um die 30 Opfer namentlich bekannt, die \u00fcber diesen Hack gesch\u00e4digt wurden (siehe Desaster Salesloft \/ Salesforce-Hack: Google, Cloudflare & Co. unter den Opfern<\/a>).<\/p>\n Es wurde von Lesern gefragt, ob mir Details zum Hack der Salesloft-Drift-Integration in Salesforce bekannt seien. Es ist in den meisten Internetbeitr\u00e4gen nur die Rede davon, dass \"\u00fcber die Salesloft-Drift-Integration\" AWS und Snowflake Tokens entwendet wurden. Auf dieser Mandiant-Seite<\/a> bin ich zu den mutma\u00dflichen Details f\u00fcndig geworden.<\/p>\n Der Vorfall zeigt die fatalen Abh\u00e4ngigkeiten der Branche von Drittanbietern. Einer wird gehackt und der Angreifer kann sich in der SaaS-Kette durchhangeln, oAuth-Tokens f\u00fcr den Zugriff auf Kundenkonten erbeuten und dann diese Kunden, sowie deren Kunden kompromittieren. Salesloft hat nun die Drift-Infrastruktur, die App und den Code isoliert und am 5. September 2025 offline genommen.<\/p>\n Au\u00dferdem wurden die Anmeldedaten ge\u00e4ndert und eine st\u00e4rkere Segmentierung zwischen Salesloft und Drift vorgenommen. Es wird empfohlen, alle Drift-API-Schl\u00fcssel zu widerrufen. Am 7. September stellte Salesforce die Integrationen mit Salesloft wieder her. Allerdings bleibt Drift bis auf Weiteres deaktiviert.<\/p>\n ShinyHunters, eine Gruppe von Cyberkriminellen, die auf Erpressung aus, behauptet nun, \u00fcber 1,5 Milliarden Salesforce-Datens\u00e4tze von 760 Unternehmen gestohlen zu haben. Dazu sollen Sie \u00fcber kompromittierte Salesloft Drift OAuth-Token in der Lage gewesen sein. Dies berichtet Lawrence Abrams in diesem Artikel<\/a> auf Bleeping Computer.<\/p>\n Der Thread-Actor greift seit einem Jahr Salesforce-Kunden \u00fcber deren CRM-Plattform an. Dabei kommen Social Engineering und manipulierte OAuth-Anwendungen zum Einsatz, um in Salesforce-Instanzen einzudringen und Daten herunterzuladen. Anschlie\u00dfend werden die Opfer mit den gestohlenen Daten erpresst, damit diese zur Zahlung eines L\u00f6segelds bereit sind, um die Ver\u00f6ffentlichung der Daten zu verhindern.<\/p>\n Es scheint es sich bei den Angreifern um einen Zusammenschluss von ShinyHunters, Scattered Spider und Lapsus$ zu handeln, die nun unter \"Scattered Lapsus$ Hunters\" auftreten. Google verwendet die Bezeichnungen UNC6040 und UNC6395 f\u00fcr diese Gruppierungen.<\/p>\n Ein massives Problem scheint dabei der sorglose Umgang mit Zugangstokens bzw. die Integration verschiedener Plattformen zu sein. Da reicht es dann, ein Konto auf Plattform A zu kompromittieren, um auf Konten von Plattform B zugreifen zu k\u00f6nnen. Und wenn sich auf Plattform B noch Informationen f\u00fcr weitere Kundenzug\u00e4nge finden, geht das Spiel dann munter weiter und die Angreifer k\u00f6nnen sich an der SaaS-Kette entlang hangeln.<\/p>\n Die Tage habe ich bei The Register noch diesen Artikel<\/a> gesehen, wo eine Organisation per Ransomware lahm gelegt wurde, weil die Recovery-Keys von Konten im Klartext im IT-Netzwerk aufzufinden waren.<\/p>\n \u00c4hnliche Artikel:<\/strong> Wenn es denn stimmt, d\u00fcrfte das noch b\u00f6se ausgehen. Die Cyber-Gruppe ShinyHunters behauptet, \u00fcber den Salesloft-Drift-Hack 1,5 Milliarden Datens\u00e4tze von der CRM-Plattform Salesforce abgezogen zu haben. Das d\u00fcrfte deren Kunden dann noch arge Kopfschmerzen bereiten, wurden doch in den letzten … Weiterlesen Im August 2025 ist es Angreifern gelungen, in die Drift-Salesforce-Integration von Salesloft einzudringen, um Daten wie AWS-Schl\u00fcssel und Snowflake-Tokens zu stehlen. SalesLoft<\/a> ist eine Sales-Engagement-Plattform, die die Kommunikation \u00fcber E-Mail, Telefon und soziale Medien zentralisiert und Teams dabei unterst\u00fctzt, Arbeitsabl\u00e4ufe zu automatisieren und das Engagement zu verfolgen.<\/p>\n
Noch ein paar Details zum Salesloft-Angriff<\/h2>\n
\n
ShineyHunters:\u00a01,5 Milliarden Salesforce-Datens\u00e4tze erbeutet?<\/h2>\n
\nSchwachstellen in Fortinet FortiWeb; Directus, Hack bei Salesloft und mehr<\/a>
\nDesaster Salesloft \/ Salesforce-Hack: Google, Cloudflare & Co. unter den Opfern<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"