Lehren aus der Salesloft Drift Exposure: Was passiert ist, welche Auswirkungen es hat und wie Cyera helfen kann

Diese Woche enthüllten Sicherheitsforscher einen bedeutenden Vorfall, bei dem Salesloft Drift-Integrationen. Bedrohungsakteure nutzten OAuth-Token aus, die mit Salesloft verknüpft waren, und verschafften sich unbefugten Zugriff auf verbundene Anwendungen — einschließlich Salesforce.

Der Angriff stand im Zusammenhang mit einer Gruppe namens Glänzende Jäger, das in der Vergangenheit dafür bekannt war, hochkarätige Unternehmen ins Visier zu nehmen.

Salesforce selbst war zwar nicht die Quelle des Kompromisses, aber Integrationen über Salesloft eröffneten Angreifern neue Möglichkeiten, nach denen sie suchen konnten Geheimnisse und Referenzen innerhalb von Kundenumgebungen.

Der Vorfall unterstreicht eine umfassendere Realität: Je mehr SaaS-Anwendungen miteinander verbunden werden, desto wichtiger ist es, sie zu verstehen wo sensible Daten und Anmeldeinformationen gespeichert sind, wer darauf zugreifen kann und wie Angreifer diese Pfade ausnutzen könnten.

Was wissen wir, ist passiert?

Es begann mit einer einzigen Tür, die offen gelassen wurde. Salesloft Drift, eine weit verbreitete Vertriebsplattform, wurde zum Ziel, als Angreifer einen Weg fanden, OAuth-Token auszunutzen — diese unsichtbaren Schlüssel, die Integrationen heimlich im Hintergrund laufen lassen. Mit diesen Tokens in der Hand benötigten die Angreifer keine Passwörter oder MFA-Eingabeaufforderungen; plötzlich hatten sie Zugang zu vertrauenswürdigen Umgebungen.

Von da an breitete sich der Kompromiss aus. Da Salesloft mit anderen wichtigen SaaS-Plattformen wie Salesforce, Google Workspace und Outlook verbunden war, erhielten Angreifer Zugriff auf ein viel breiteres digitales Ökosystem. Sie suchten nicht nur nach Kundendaten oder E-Mails — Berichten zufolge waren sie speziell auf der Suche nach In Kundendaten eingebettete Geheimnisse und Anmeldeinformationen. Damit könnten sie noch mehr nachgelagerte Systeme freischalten.

• Die Exposition entstand in Verkaufsloft Drift, wo kompromittierte OAuth-Token Angreifern unbefugten Zugriff gewährten.
  
• Salesforce gehörte zu den betroffenen Integrationen, nicht die Quelle des Verstoßes, sondern ein potenzieller Pfad für Angreifer.
  
• Google ausgegeben Warnungen auf 2,5 Milliarden Gmail-Nutzer, was das globale Ausmaß und die Dringlichkeit des Vorfalls unterstreicht.

Was ist die Auswirkung?

Die Auswirkungen dieses Vorfalls zeigen, wie fragil miteinander verbundene SaaS-Ökosysteme sein können. Stellen Sie sich ein einzelnes schwaches Glied in einer Kette vor: Ein kleiner Kompromiss in Salesloft Drift breitete sich sofort auf die betroffenen Systeme aus. Plötzlich waren Salesforce-Umgebungen, in denen sensible Kundendaten gespeichert sind, und sogar Gmail-Posteingänge Teil des Explosionsradius.

Die Bedrohung beschränkte sich nicht auf gestohlene Aufzeichnungen. Berichten zufolge durchkämmten Angreifer Umgebungen, um Folgendes zu finden Geheimnisse — wie API-Schlüssel, Token oder Anmeldeinformationen — die in Salesforce-Objekten oder Kundendatensätzen versteckt sind. Diese Geheimnisse könnten, wenn sie einmal entdeckt sind, als Waffe eingesetzt werden, um noch mehr Systeme zu infiltrieren. Für Unternehmen bedeutet das, dass die Enthüllung nicht bei einer einzigen Plattform endet; sie verbreitet sich wie eine Seuche über jede Integration.

• Breitere Präsenz durch Integrationen: Ein Kompromiss in Salesloft Drift wurde schnell auf Salesforce, Google Workspace und Outlook ausgedehnt.
  
• Geheimnisse als Ziel: Die Angreifer konzentrierten sich darauf, eingebettete Anmeldeinformationen sie könnten für weitere Angriffe verwendet werden.
  
• Compliance- und Vertrauensrisiken: Selbst wenn der ursprüngliche Fehler bei einem Drittanbieter liegt, tragen Unternehmen die Verantwortung für offengelegte sensible Daten und müssen mit Reputations- und regulatorischen Konsequenzen rechnen.

‍Wie ist das passiert?

Die Sicherheitslücke begann nicht mit gestohlenen Benutzernamen oder geknackten Passwörtern — sie begann mit den Tokens, denen wir vertrauen, damit modernes SaaS reibungslos funktioniert. OAuth-Token sollen unser digitales Leben vereinfachen, indem sie im Hintergrund zwischen Apps wechseln, um eine reibungslose und sichere Integration zu gewährleisten. Aber in den falschen Händen werden dieselben Token zu einem Skelettschlüssel.

Im Fall von Salesloft Drift waren die Angreifer in der Lage, diese Token zu missbrauchen und sich selbst den gleichen Zugriff wie legitime Benutzer zu gewähren. Sobald sie drinnen waren, machten sie nicht bei Salesloft halt. Wie Wasser, das bergab fließt, folgten die Angreifer den natürlichen Verbindungen zwischen Anwendungen. Salesforce war einer von ihnen — nicht der Ursprung des Problems, aber aufgrund der darin enthaltenen sensiblen Daten ein großes Ziel.

Die eigentliche Herausforderung für Unternehmen besteht darin, dass nur wenige Teams Einblick in die Art und Weise haben, wie diese Integrationen Daten bewegen. In Salesforce-Objekten gespeicherte Geheimnisse, in Notizen eingebettete Anmeldeinformationen oder übersehene API-Schlüssel können für Angreifer zu Sprungbrettern werden. Und da Identitätskontrollen in der Regel OAuth-Token vertrauen, bleiben diese Bewegungen oft unter dem Radar.

• Ausnutzung von OAuth-Tokens: Angreifer umgingen traditionelle Anmeldemethoden, indem sie OAuth-Token missbrauchten, die einen dauerhaften Zugriff ohne Benutzerinteraktion ermöglichten.
  
• Integration als Angriffspfad: Salesloft Drift diente als erster Einstiegspunkt, aber die Angreifer nutzten schnell verbundene Integrationen wie Salesforce und Google Workspace.
  
• Blinde Flecken in der Datentransparenz: Die meisten Unternehmen konnten nicht erkennen, wo sensible Daten oder Geheimnisse gespeichert wurden, sodass ausnutzbare blinde Flecken entstanden.
  
• Grenzen der IAM-Kontrollen: Tools zur Identitäts- und Zugriffsverwaltung reichten nicht aus — sie vertrauten den Tokens und übersahen die anomalen Datenbewegungen, die von den Angreifern verursacht wurden.

Was sollten Unternehmen tun, um diese Risiken zu vermeiden?

Salesforce selbst hat betont, dass Integrationen zwar SaaS-Plattformen leistungsstark machen, aber auch die Angriffsfläche erweitern. Um Risiken wie die im Salesloft Drift aufgezeigten zu minimieren, sollten Unternehmen:

Um die Wahrscheinlichkeit ähnlicher Vorfälle zu verringern, sollten Sicherheitsteams:

• Beseitigen Sie Geheimnisse aus SaaS-Datensätzen — Passwörter, API-Schlüssel und Anmeldeinformationen sollten niemals in Salesforce-Feldern gespeichert werden.
  
• Prüfen Sie regelmäßig OAuth-Integrationen — Entfernen Sie ungenutzte oder verdächtige Apps.
  
• Grenzen Sie Token so ein, dass nur die geringsten Rechte gelten — Stellen Sie sicher, dass OAuth-Apps nur auf das zugreifen, was sie benötigen.
  
• Rotieren Sie die Token aggressiv — Kurzlebige Token schränken die Persistenz der Angreifer ein.
  
• Erfahren Sie alles, worauf Dritte zugreifen können — Bewerben Verwaltung der Datensicherheitslage (DSPM) Prinzipien, um genau zu verstehen, welche Anbieter, Integrationen und Apps Zugriff auf sensible Daten haben.
  
• Überwachen Sie Datenflüsse in Echtzeit — Leverage Schutz vor Datenverlust (DLP) Techniken zur Erkennung anomaler Bewegungen sensibler Daten zwischen Integrationen.
  
• Informieren Sie Ihre Mitarbeiter über Betrügereien mit Vishing und App-Autorisierung — menschliches Vertrauen ist nach wie vor ein wichtiger Angriffsvektor.

Wie Cyera helfen kann

Vorfälle wie die Enthüllung von Salesloft Drift erinnern uns an eine harte Wahrheit: Angreifer verfolgen nicht nur offensichtliche Ziele, sie suchen auch nach kleinen Versehen — den Geheimnissen, die in Aufzeichnungen hinterlassen wurden, den Tokens, an die niemand gedacht hat, die Integrationen, die den Zugriff stillschweigend weit über das hinaus erweitern, was erwartet wird. Um sich dagegen zu verteidigen, ist Sichtbarkeit gefragt, nicht nur Kontrolle.

Cyera hilft Unternehmen dabei, diese Praktiken in die Praxis umzusetzen, indem es Sicherheitsteams die Transparenz und den Einblick bietet, die ihnen oft fehlen:

• Identifizieren Sie Geheimnisse und Anmeldeinformationen
  Cyera scannt Salesforce-Umgebungen, um Geheimnisse, Passwörter oder API-Schlüssel zu erkennen, die in Datensätzen versteckt sind, wo sie nicht existieren sollten. So können Teams sie entfernen, bevor Angreifer sie ausnutzen.
  
• Erstellen Sie eine Zugangskarte
  Cyera zeigt, wer und welche Integrationen auf sensible Salesforce-Daten zugreifen können, und hilft Teams dabei, übermäßigen oder unerwarteten Zugriff zu erkennen.
  
• Risiken einer zu freizügigen Weitergabe aufdecken
  Cyera hebt Daten hervor, die zu häufig geteilt werden — von Benutzern, Gruppen oder Apps von Drittanbietern —, sodass Unternehmen die Kontrollen verschärfen können.
  
• Informierte Problembehebung aktivieren
  Mit dieser Sichtbarkeit können Teams im Falle eines Vorfalls nicht nur schneller reagieren, sondern auch proaktiv die Exposition reduzieren, um sicherzustellen, dass sensible Daten besser geschützt sind, bevor es jemals zu einer Sicherheitsverletzung kommt.

Cyera ersetzt keine Identitäts- oder Integrationskontrollen, sondern bietet datenzentrierte Sichtbarkeit und Kontext das macht diese Sicherheitspraktiken umsetzbar. Das Ergebnis ist eine stärkere, widerstandsfähigere Salesforce-Umgebung, in der Geheimnisse entfernt werden, der Zugriff richtig dimensioniert ist und Risiken einfacher zu verwalten sind.

Wenn eine Integration wie Salesloft Drift kompromittiert wäre, würde diese Sichtbarkeit die anfängliche Bekanntheit nicht verhindern, aber sie würde einen erheblichen Unterschied machen, was die Begrenzung ihrer Auswirkungen angeht. Die Sicherheitsteams wüssten bereits, wo wertvolle Daten gespeichert waren, ob Geheimnisse vorhanden waren und wie Integrationen diese Daten nutzten. Diese Art von Bewusstsein macht aus einem blinden Gerangel eine informierte Reaktion.

Cyera hilft Organisationen unter anderem bei der Stärkung der Widerstandsfähigkeit:

• Versteckte Risiken ins Rampenlicht: Identifizierung von „Geheimnissen“, Anmeldeinformationen und vertraulichen Daten in Salesforce-Objekten, auf die Angreifer abzielen könnten.

• Kontextuelles Bewusstsein von Integrationen: Es wird hervorgehoben, welche Drittanbieter-Apps (wie Drift) Zugriff auf vertrauliche Daten haben, damit Teams das Risiko angemessen abwägen können.

Indem wir Sicherheitsteams ein klares Bild von ihren Salesforce-Umgebungen vermitteln — wo sensible Daten gespeichert sind, wer Zugriff darauf hat und wie sie geteilt werden — helfen wir Unternehmen, Risiken zu reduzieren, den Explosionsradius zu minimieren und klar zu reagieren, wenn etwas schief geht.‍

Fazit

Bei Salesloft Drift geht es nicht nur um einen Anbieter oder eine Plattform. Es erinnert daran, wie eng SaaS-Ökosysteme miteinander verknüpft sind — und wie Angreifer diese Verbindungen zunehmend ausnutzen, um Geheimnisse und Anmeldeinformationen zu finden, die weiteren Zugriff ermöglichen.

Mit Cyera, erhalten Unternehmen die Möglichkeit, sensible Daten in Salesforce, seinen Integrationen und ähnlichen Anwendungen einzusehen und zu sichern. Diese Transparenz stellt sicher, dass selbst dann, wenn ein externer Service kompromittiert wird, der Explosionsradius reduziert wird. So können die Sicherheitsteams mit Klarheit und Zuversicht reagieren.