SaaS史上最严重供应链攻击：Salesloft Drift数据泄露事件深度剖析，700+企业遭殃

2025年8月发生的Salesloft Drift数据泄露事件堪称SaaS史上最严重的供应链攻击之一，展示了单一受损集成如何引发大规模组织数据暴露。威胁组织UNC6395通过利用OAuth令牌漏洞，获取了包括Cloudflare、Palo Alto Networks和Zscaler等700多家企业的敏感数据。该事件揭示了第三方应用安全的关键弱点，为企业提升网络韧性提供了宝贵经验。

初始入侵：GitHub账户失陷

攻击时间线显示，UNC6395早在事件公开前数月就开始了系统性入侵。据Mandiant调查，该组织于2025年3月首次获取Salesloft的GitHub账户访问权限，并持续控制至2025年6月。这一长达三个月的初始入侵暴露出严重的安全监测失效。

在此期间，攻击者对Salesloft和Drift应用环境进行了全面侦察：系统下载多个代码库内容、添加访客用户、建立便于后续大规模数据外泄的工作流程。这种长期潜伏使攻击者能深入了解目标环境并识别最有价值的攻击路径。

GitHub入侵事件凸显了现代软件开发中的基础性安全挑战——代码仓库和开发基础设施的保护。Salesloft尚未披露初始入侵的具体方式，这种透明度缺失遭到安全分析师的批评，他们强调了解根本原因对有效补救至关重要。

Drift平台利用与OAuth令牌窃取

完成侦察后，攻击者转向利用Drift的亚马逊云服务(AWS)环境，成功获取Drift客户技术集成的OAuth令牌。这一供应链漏洞导致数百家企业遭受连锁攻击。

OAuth令牌作为数字密钥，允许应用无需密码验证即可跨平台访问用户数据。在Drift案例中，这些令牌使聊天机器人平台能与Salesforce、Google Workspace等业务系统集成。通过窃取令牌，UNC6395获得了同等信任权限，绕过了传统安全控制。

攻击者展现了对云基础设施和令牌管理系统的深刻理解，这种技术复杂度是高级持续性威胁(APT)组织的典型特征。2025年8月8日至18日期间，UNC6395针对通过Drift集成的Salesforce实例发起系统性数据外泄攻击，主要目标是凭证收集而非即时数据变现。攻击者从外泄数据中系统搜索以下高价值凭证：

• 亚马逊云服务(AWS)访问密钥(AKIA格式)
• Snowflake相关访问令牌
• VPN凭证和配置信息
• 通用密码和认证字符串
• API密钥和服务账户凭证

这种凭证收集策略旨在为后续攻击和横向移动创造条件，使攻击者能长期访问远超Salesforce初始入侵范围的云基础设施和关键业务系统。

受影响企业

此次泄露影响范围惊人，Google威胁情报组确认数百家企业受影响，其中包括多家知名网络安全厂商：

• Cloudflare：确认2025年8月12-17日间Salesforce案例对象遭未授权访问，发现并轮换了104个API令牌
• Palo Alto Networks：披露包含业务联系信息和基础案例数据的CRM平台遭入侵
• Zscaler：确认Salesforce数据受影响，包括客户许可和商业信息
• Tenable：报告客户支持案例信息和业务联系人详情暴露
• Proofpoint：多份安全公告确认受影响
• Dynatrace：报告业务联系信息有限暴露，核心产品未受影响
• Qualys：确认Salesforce有限访问，生产环境未受影响
• CyberArk：披露CRM数据泄露，强调客户凭证未暴露
• Wealthsimple：报告更广泛影响，包括客户政府ID和个人信息

根本原因分析：系统性安全失效

Salesloft Drift泄露事件揭示了多个相互关联的安全失效：

• GitHub入侵方面：关键开发账户访问控制和监控不足；未检测未授权仓库访问；恶意活动三个月未被发现
• OAuth令牌管理：高价值认证令牌保护不足；开发与生产环境隔离不充分；OAuth令牌使用模式异常检测缺失
• 第三方集成监管：OAuth授权范围过度宽松；第三方应用行为监控不足；连接应用定期安全评估缺失
• 检测响应缺陷：API使用模式实时监控不足；批量数据异常提取活动识别延迟；厂商与客户间威胁情报共享不足

缓解策略

基于事件教训，企业应实施全面缓解策略：

即时响应措施

• 强化OAuth令牌安全：实施基于mTLS或DPoP的发送方约束访问令牌；建立公共客户端刷新令牌轮换策略；部署OAuth令牌使用异常实时监控
• 第三方集成审查：全面审计所有连接应用及其权限；对OAuth范围和API访问实施最小权限原则；建立关键集成定期安全评估机制
• 增强监控检测：部署API使用模式和批量数据操作高级分析；建立可疑SOQL查询活动实时告警；创建合法应用使用行为基线

战略安全改进

• 供应链风险管理：实施全面的第三方风险管理计划；集成前进行严格供应商安全评估；建立供应商安全态势持续监控；制定合同安全要求和SLA
• 零信任架构实施：对所有第三方集成应用零信任原则；实施持续验证和最小权限访问控制；部署网络分段限制横向移动可能
• 开发安全增强：为代码仓库实施全面安全控制；部署开发环境访问实时监控；建立安全软件开发生命周期(SDLC)实践

该事件表明，复杂威胁组织如何利用信任关系实现同时对数百家企业的广泛影响。随着供应链攻击日益复杂化，从此事件汲取的经验对防范未来威胁至关重要。关键不仅在于实施单项安全控制，更要建立能适应现代网络威胁动态特性的全面集成安全方案。