Lehren aus dem Salesloft-Drift-Skandal: Was geschah, welche Auswirkungen hatte es und wie Cyera helfen kann

Sep 2, 2025
Share

Diese Woche haben Sicherheitsforscher einen bedeutenden Vorfall aufgedeckt, bei dem Salesloft Drift-IntegrationenBedrohungsakteure nutzten mit Salesloft verknüpfte OAuth-Token aus und erlangten so unbefugten Zugriff auf verbundene Anwendungen – darunter auch Salesforce.

Der Anschlag wurde einer Gruppe namens ShinyHunters, bekannt dafür, in der Vergangenheit hochkarätige Unternehmen ins Visier genommen zu haben.

Obwohl Salesforce selbst nicht die Quelle der Kompromittierung war, eröffneten Integrationen über Salesloft Angreifern neue Wege zur Suche nach Schwachstellen. Geheimnisse und Zugangsdaten innerhalb von Kundenumgebungen.

Der Vorfall unterstreicht eine umfassendere Realität: Je stärker SaaS-Anwendungen miteinander vernetzt sind, desto wichtiger wird es, sie zu verstehen. wo sensible Daten und Zugangsdaten gespeichert sind, wer darauf zugreifen kann und wie Angreifer diese Zugriffswege ausnutzen könnten.Die

Was wissen wir, was passiert ist?

Es begann mit einer einzigen, angelehnten Tür. Salesloft Drift, eine weit verbreitete Vertriebsplattform, geriet ins Visier von Angreifern, die eine Möglichkeit fanden, OAuth-Tokens – jene unsichtbaren Schlüssel, die Integrationen im Hintergrund am Laufen halten – auszunutzen. Mit diesen Tokens benötigten die Angreifer weder Passwörter noch MFA-Abfragen; sie hatten plötzlich Zugang zu vertrauenswürdigen Umgebungen.

Von dort aus breitete sich die Sicherheitslücke aus. Da Salesloft mit anderen kritischen SaaS-Plattformen wie Salesforce, Google Workspace und Outlook verbunden war, erhielten die Angreifer Zugriff auf ein wesentlich größeres digitales Ökosystem. Sie suchten nicht nur nach Kundendatensätzen oder E-Mails – Berichten zufolge hatten sie es gezielt auf … abgesehen von … abgesehen von … Geheimnisse und Zugangsdaten, die in Kundendaten eingebettet sindDamit könnten sie noch weitere nachgelagerte Systeme erschließen.

  • Die Exposition hatte ihren Ursprung in Salesloft Drift, wo kompromittierte OAuth-Token Angreifern unberechtigten Zugriff gewährten.
  • Salesforce gehörte zu den betroffenen Integrationen.nicht die Quelle des Sicherheitsverstoßes, sondern ein potenzieller Einfallstor für Angreifer.
  • Google hat Warnungen an 2,5 Milliarden Gmail-NutzerDies unterstreicht das globale Ausmaß und die Dringlichkeit des Vorfalls.

Welche Auswirkungen hat das?

Die weitreichenden Folgen dieses Vorfalls verdeutlichen, wie fragil vernetzte SaaS-Ökosysteme sein können. Man stelle sich ein einziges schwaches Glied in einer Kette vor: Eine kleine Sicherheitslücke in Salesloft Drift breitete sich augenblicklich auf alle betroffenen Systeme aus. Plötzlich waren Salesforce-Umgebungen – in denen sensible Kundendaten gespeichert sind – und sogar Gmail-Postfächer betroffen.

Die Bedrohung beschränkte sich nicht auf gestohlene Datensätze. Angreifer durchkämmten Berichten zufolge ganze Umgebungen, um … Geheimnisse – wie API-Schlüssel, Token oder Anmeldeinformationen – die in Salesforce-Objekten oder Kundendatensätzen gespeichert sind.Diese Geheimnisse könnten, einmal entdeckt, als Waffe eingesetzt werden, um noch mehr Systeme zu infiltrieren. Für Unternehmen bedeutet das, dass die Gefährdung nicht bei einer einzelnen Plattform endet; sie breitet sich wie eine Seuche über alle Integrationen aus.

  • Größere Reichweite durch IntegrationenEin Kompromiss bei Salesloft Drift dehnte sich schnell auf Salesforce, Google Workspace und Outlook aus.
  • Geheimnisse als ZielDie Angreifer konzentrierten sich darauf, eingebettete Anmeldeinformationen Sie könnten sie für weitere Angriffe nutzen.
  • Compliance- und VertrauensrisikenSelbst wenn der ursprüngliche Fehler bei einem Dritten liegt, tragen Organisationen die Verantwortung für offengelegte sensible Daten und müssen mit Reputations- und regulatorischen Konsequenzen rechnen.

Wie ist das passiert?

Der Sicherheitsverstoß begann nicht mit gestohlenen Benutzernamen oder geknackten Passwörtern – er begann mit den Tokens, denen wir vertrauen, damit moderne SaaS-Anwendungen reibungslos funktionieren. OAuth-Tokens sollen unser digitales Leben vereinfachen und werden unbemerkt zwischen Anwendungen übertragen, um eine reibungslose und sichere Integration zu gewährleisten. Doch in den falschen Händen werden ebendiese Tokens zu einem Generalschlüssel.

Im Fall von Salesloft Drift konnten Angreifer diese Token missbrauchen und sich so denselben Zugriff wie legitime Benutzer verschaffen. Einmal im System, beschränkten sie sich nicht auf Salesloft. Wie Wasser, das bergab fließt, folgten die Angreifer den natürlichen Verbindungen zwischen den Anwendungen. Salesforce war eine davon – zwar nicht der Ursprung des Problems, aber aufgrund der dort gespeicherten sensiblen Daten ein lohnendes Ziel.

Die eigentliche Herausforderung für Unternehmen besteht darin, dass nur wenige Teams Einblick in die Datenflüsse dieser Integrationen haben. In Salesforce-Objekten gespeicherte Geheimnisse, in Notizen eingebettete Anmeldeinformationen oder übersehene API-Schlüssel können Angreifern als Einfallstor dienen. Und da Identitätskontrollsysteme in der Regel OAuth-Token vertrauen, bleiben diese Vorgänge oft unbemerkt.

  • Ausnutzung von OAuth-TokenAngreifer umgingen die herkömmlichen Anmeldemethoden durch Missbrauch von OAuth-Tokens, die einen dauerhaften Zugriff ohne Benutzerinteraktion ermöglichten.
  • Integration als AngriffswegSalesloft Drift diente als erster Einstiegspunkt, aber Angreifer nutzten schnell verbundene Integrationen wie Salesforce und Google Workspace aus.
  • Blinde Flecken in der DatensichtbarkeitDie meisten Organisationen konnten nicht erkennen, wo sensible Daten oder Geheimnisse gespeichert wurden, wodurch ausnutzbare Schwachstellen entstanden.
  • Grenzen der IAM-KontrollenDie Tools für Identitäts- und Zugriffsmanagement reichten nicht aus – sie vertrauten den Token und übersahen die von den Angreifern erzeugten anomalen Datenbewegungen.

Was sollten Organisationen tun, um diese Risiken zu vermeiden?

Salesforce selbst hat betont, dass Integrationen zwar die Leistungsfähigkeit von SaaS-Plattformen erhöhen, aber gleichzeitig auch die Angriffsfläche vergrößern. Um Risiken wie die im Salesloft-Drift-Skandal aufgezeigten zu minimieren, sollten Unternehmen Folgendes beachten:

Um die Wahrscheinlichkeit ähnlicher Vorfälle zu verringern, sollten Sicherheitsteams Folgendes beachten:

  • Geheimnisse aus SaaS-Datensätzen entfernen – Passwörter, API-Schlüssel und Zugangsdaten sollten niemals in Salesforce-Feldern gespeichert werden.
  • Überprüfen Sie regelmäßig die OAuth-Integrationen – Entfernen Sie ungenutzte oder verdächtige Apps.
  • Zugriff auf Tokens nach dem Prinzip der minimalen Berechtigungen – Sicherstellen, dass OAuth-Apps nur auf die benötigten Ressourcen zugreifen.
  • Tokens sollten häufig rotiert werden – kurzlebige Tokens schränken die Beharrlichkeit des Angreifers ein.
  • Wissen, worauf Dritte Zugriff haben – Anwenden Datensicherheits-Statusmanagement (DSPM) Prinzipien, um genau zu verstehen, welche Anbieter, Integrationen und Apps Zugriff auf sensible Daten haben.
  • Datenflüsse in Echtzeit überwachen – Nutzen Sie Datenverlustprävention (DLP) Verfahren zur Erkennung anomaler Bewegungen sensibler Daten über Integrationen hinweg.
  • Schulen Sie Ihre Mitarbeiter in Bezug auf Vishing und App-Autorisierungsbetrug – Menschliches Vertrauen bleibt ein wichtiger Angriffsvektor.

Wie Cyera helfen kann

Vorfälle wie der Salesloft-Drift-Datenskandal erinnern uns an eine bittere Wahrheit: Angreifer zielen nicht nur auf offensichtliche Ziele ab, sondern suchen nach kleinen Fehlern – nach unentdeckten Geheimnissen in Datensätzen, nach Tokens, die niemand überprüft hat, und nach Integrationen, die den Zugriff unbemerkt weit über das erwartete Maß hinaus erweitern. Um sich davor zu schützen, braucht es Transparenz, nicht nur Kontrolle.

Cyera unterstützt Unternehmen bei der Umsetzung dieser Praktiken, indem es Sicherheitsteams die Transparenz und die Einblicke bietet, die ihnen oft fehlen:

  • Geheimnisse und Zugangsdaten identifizieren
    Cyera durchsucht Salesforce-Umgebungen, um Geheimnisse, Passwörter oder API-Schlüssel aufzuspüren, die in Datensätzen versteckt sind, wo sie nicht hingehören – so können Teams diese entfernen, bevor Angreifer sie ausnutzen.
  • Erstellen Sie eine Zugangskarte
    Cyera zeigt an, wer und welche Integrationen auf sensible Salesforce-Daten zugreifen können, und hilft Teams so, übermäßige oder unerwartete Zugriffe zu erkennen.
  • Risiken einer übermäßigen Freizügigkeit bei der gemeinsamen Nutzung
    Cyera hebt Daten hervor, die zu breit gestreut sind – zwischen Benutzern, Gruppen oder Drittanbieter-Apps –, damit Organisationen die Kontrollen verschärfen können.
  • Ermöglichen Sie eine fundierte Fehlerbehebung
    Dank dieser Transparenz können Teams im Falle eines Vorfalls nicht nur schneller reagieren, sondern auch Exposition proaktiv reduzierenDadurch wird sichergestellt, dass sensible Daten besser geschützt sind, bevor es überhaupt zu einem Datenleck kommt.

Anstatt Identitäts- oder Integrationskontrollen zu ersetzen, bietet Cyera die datenzentrierte Sichtbarkeit und Kontext Dadurch werden diese Sicherheitsmaßnahmen umsetzbar. Das Ergebnis ist eine robustere und widerstandsfähigere Salesforce-Umgebung, in der Geheimnisse beseitigt, Zugriffsrechte angemessen dosiert und Risiken leichter zu beherrschen sind.

Wenn eine Integration wie Salesloft Drift kompromittiert würde, könnte diese Transparenz zwar den anfänglichen Angriff nicht verhindern, aber die Auswirkungen erheblich begrenzen. Sicherheitsteams wüssten bereits, wo sensible Daten gespeichert sind, ob vertrauliche Informationen vorhanden sind und wie Integrationen diese Daten nutzen. Dieses Wissen wandelt ein blindes Hetzen in eine fundierte Reaktion um.

Cyera unterstützt Organisationen unter anderem auf folgende Weise bei der Stärkung ihrer Resilienz:

  • Verborgene Risiken aufdeckenIdentifizierung von „Geheimnissen“, Anmeldeinformationen und sensiblen Daten in Salesforce-Objekten, die Angreifer ins Visier nehmen könnten.
__wf_reserved_inherit
Unverschlüsselte Anmeldeinformationen werden im Klartext innerhalb der Cyera-Plattform gespeichert.
__wf_reserved_inherit
  • Kontextuelles Bewusstsein für Integrationen: Hervorhebung derjenigen Drittanbieter-Apps (wie Drift), die Zugriff auf sensible Daten haben, damit die Teams das Risiko angemessen abwägen können.

Indem wir Sicherheitsteams ein klares Bild ihrer Salesforce-Umgebungen vermitteln – wo sensible Daten gespeichert sind, wer Zugriff darauf hat und wie sie weitergegeben werden – helfen wir Unternehmen dabei, Risiken zu reduzieren, den Schadensradius zu minimieren und klar zu reagieren, wenn etwas schiefgeht.

Abschluss

Der Salesloft-Drift-Vorfall betrifft nicht nur einen einzelnen Anbieter oder eine einzelne Plattform. Er verdeutlicht vielmehr, wie eng SaaS-Ökosysteme miteinander vernetzt sind – und wie Angreifer diese Verbindungen zunehmend ausnutzen werden, um an Geheimnisse und Zugangsdaten zu gelangen, die ihnen weiteren Zugriff ermöglichen.

Mit CyeraOrganisationen erhalten dadurch die Möglichkeit, sensible Daten in Salesforce, seinen Integrationen und ähnlichen Anwendungen einzusehen und zu schützen. Diese Transparenz gewährleistet, dass selbst bei einer Kompromittierung eines externen Dienstes die Auswirkungen minimiert werden – und unterstützt Sicherheitsteams bei einer klaren und souveränen Reaktion.

Share