Una falla in un singolo anello della catena può minare la sicurezza dell’intero ecosistema. È la lezione, dura e reiterata, che arriva dall’ultimo incidente di sicurezza confermato da Google, che coinvolge Salesloft Drift, una popolare piattaforma di engagement per il marketing e le vendite. Quello che inizialmente sembrava un problema circoscritto alle integrazioni con Salesforce si è rivelato essere una potenziale compromissione totale di tutti i token di autenticazione collegati a Drift.
La Google Threat Intelligence Group (GTIG) ha aggiornato le sue valutazioni: non si tratta più di un incidente limitato. Tutti i token OAuth delle applicazioni di terze parti connesse a Drift sono da considerarsi potenzialmente compromessi. Un avvertimento che suona come un’allerta generale per un numero imprecisato ma sicuramente ampio di organizzazioni.
La campagna di esfiltrazione dati è stata attribuita a un threat actor noto come UNC6395. Tra l’8 e il 18 agosto 2025, il gruppo ha sfruttato token OAuth già compromessi associati all’applicazione di terze parti Salesloft Drift per esportare metodicamente volumi massicci di dati dalle istanze corporate di Salesforce. L’obiettivo primario, secondo l’analisi di GTIG, era il harvesting di credenziali sensibili: chiavi di accesso Amazon Web Services (AWS), password e token di accesso legati a Snowflake.
La prima reazione di Salesloft e Salesforce, il 20 agosto, era sembrata decisiva: revoca di tutti i token di accesso e refresh attivi per l’applicazione Drift e sua rimozione temporanea dal Salesforce AppExchange. All’epoca, si credeva che l’impatto fosse confinato ai clienti che avevano integrato Drift direttamente con Salesforce.
Ma il buco era più profondo. L’8 agosto, l’attore aveva compromesso anche i token OAuth per l’integrazione “Drift Email”. Le indagini hanno accertato che il 9 agosto questi token sono stati utilizzati per accedere alle email di un numero molto ristretto di account Google Workspace, quelli specificamente configurati per l’integrazione con Salesloft. Google si è affrettata a precisare che non c’è stata alcuna compromissione diretta di Google Workspace o di Alphabet, e che l’attore non avrebbe potuto accedere ad altri account all’interno dello stesso dominio Workspace.
Tuttavia, il danno era fatto. Google ha identificato gli utenti impattati, revocato i token OAuth specifici concessi a Drift Email e disabilitato l’integrazione tra Google Workspace e Salesloft Drift in attesa di ulteriori accertamenti. Gli amministratori di sistema interessati stanno ricevendo notifiche dirette.
Le implicazioni tecniche e il rilevamento
Questo incidente non è nato da una vulnerabilità nei core platform di Google o Salesforce, ma dallo sfruttamento di token OAuth legittimi ma trafugati. L’OAuth è il protocollo standard che permette a un’applicazione di accedere alle risorse di un’altra senza condividere le password degli utenti. Un token compromesso è come avere le chiavi di casa duplicate da un malintenzionato: l’accesso è silenzioso, autorizzato e difficile da rilevare senza un monitoring avanzato.
Un esempio di come un token OAuth venga utilizzato in una richiesta API legittima è il seguente:
GET /api/v1/user/emails HTTP/1.1
Host: api.example-service.com
Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9... [token compromesso]Un attore malevolo che possieda questo token può effettuare le stesse chiamate API dell’utente legittimo, rendendo cruciale il rilevamento di anomalie nel comportamento delle applicazioni e nel volume delle richieste.
Sebbmeno indicatori di compromissione (IOC) specifici non siano stati resi pubblici in dettaglio, le organizzazioni che utilizzano Salesloft Drift dovrebbero immediatamente:
- Revisionare tutti i log di audit di Salesforce e Google Workspace per le date dell’8-18 agosto 2025, alla ricerca di accessi anomali o export di dati insolitamente grandi dall’istanza Salesforce (ad esempio, utilizzando l’API
DataExportoBulk API). - Monitorare i log di accesso AWS e Snowflake per attività sospette originate da indirizzi IP non familiari o in orari anomali, anche se le richieste sono autenticate con credenziali valide.
- Cercare specificamente tentativi di accesso o richieste API associati all’ID client OAuth di Drift, che potrebbe essere utilizzato come indicatore per tracciare l’attività malevola.
Salesloft ha ora ingaggiato la società di cybersecurity Mandiant per assistere nelle indagini in corso. Per le organizzazioni, la prescrizione è chiara: non basta cambiare la serratura di una sola porta. È necessario condurre una revisione completa di tutte le integrazioni di terze parti collegate alla propria istanza Drift, revocare e ruotare tutte le credenziali associate—dai token OAuth alle chiavi API—e investigare attivamente tutti i sistemi connessi per qualsiasi segno di accesso non autorizzato.