Google официально подтвердила: атака на платформу Salesloft оказалась куда масштабнее, чем считалось ранее.
Если сначала речь шла только о компрометации токенов OAuth, связанных с интеграцией Drift и Salesforce, то теперь выяснилось, что под удар попали и учетные записи Google Workspace.
Инцидент произошёл в период с 8 по 18 августа 2025 года. Хакеры, которых в Google Threat Intelligence (Mandiant) идентифицировали как UNC6395, использовали украденные refresh-токены, чтобы проникнуть в инстансы Salesforce и выполнить целевые SOQL-запросы. Это позволило им собирать пароли, ключи AWS и секреты Snowflake из обращений в техподдержку.
Позднее выяснилось, что злоумышленники также получили доступ к электронной почте пользователей Google Workspace, подключённой через Drift Email.
Salesloft совместно с Salesforce оперативно отозвали все действующие токены Drift и временно отключили интеграции с Salesforce, Slack и Pardot. Тем не менее Google рекомендует всем клиентам, использующим Drift, рассматривать свои токены аутентификации как потенциально скомпрометированные и срочно провести проверку журналов событий.
Любопытно, что параллельно о причастности к атаке заявила известная группировка ShinyHunters, но позже хакеры отказались от этой версии, пояснив, что в данном случае речь шла о другой схеме. Эксперты не исключают, что группировка действует совместно с Scattered Spider, и уже сейчас объединение фигурирует под новым названием Sp1d3rHunters. На фоне атаки пострадавшими оказались не только клиенты Salesloft, но и глобальные бренды — от Adidas и Qantas до Louis Vuitton, Chanel и Pandora.
Если сначала речь шла только о компрометации токенов OAuth, связанных с интеграцией Drift и Salesforce, то теперь выяснилось, что под удар попали и учетные записи Google Workspace.
Инцидент произошёл в период с 8 по 18 августа 2025 года. Хакеры, которых в Google Threat Intelligence (Mandiant) идентифицировали как UNC6395, использовали украденные refresh-токены, чтобы проникнуть в инстансы Salesforce и выполнить целевые SOQL-запросы. Это позволило им собирать пароли, ключи AWS и секреты Snowflake из обращений в техподдержку.
Позднее выяснилось, что злоумышленники также получили доступ к электронной почте пользователей Google Workspace, подключённой через Drift Email.
Salesloft совместно с Salesforce оперативно отозвали все действующие токены Drift и временно отключили интеграции с Salesforce, Slack и Pardot. Тем не менее Google рекомендует всем клиентам, использующим Drift, рассматривать свои токены аутентификации как потенциально скомпрометированные и срочно провести проверку журналов событий.
Любопытно, что параллельно о причастности к атаке заявила известная группировка ShinyHunters, но позже хакеры отказались от этой версии, пояснив, что в данном случае речь шла о другой схеме. Эксперты не исключают, что группировка действует совместно с Scattered Spider, и уже сейчас объединение фигурирует под новым названием Sp1d3rHunters. На фоне атаки пострадавшими оказались не только клиенты Salesloft, но и глобальные бренды — от Adidas и Qantas до Louis Vuitton, Chanel и Pandora.
