La scia di danni lasciata dall’attacco alla piattaforma di Salesforce attraverso l’integrazione compromessa di Salesloft Drift continua ad allargarsi, e questa volta a confermare l’impatto sono alcune delle realtà più note nel panorama della cybersecurity globale. Proofpoint, SpyCloud, Tanium e Tenable hanno ammesso pubblicamente che i threat actor sono riusciti ad accedere a informazioni custodite all’interno delle loro istanze Salesforce.
La campagna, attribuita al gruppo UNC6395 e resa pubblica dal team di threat intelligence di Google lo scorso 26 agosto, ha sfruttato token OAuth compromessi per il chatbot AI Drift di Salesloft, portando all’esfiltrazione di volumi enormi di dati sensibili. Inizialmente si pensava che l’attacco colpisse solo le organizzazioni che utilizzavano attivamente l’integrazione Drift, ma è ormai chiaro che il perimetro è molto più ampio e include semplici clienti Salesforce.
I dati trafugati spaziano da chiavi di accesso AWS e credenziali plain text fino a token di Snowflake, dipingendo un quadro allarmante di una campagna di exfiltration su larga scala che ha interessato oltre 700 organizzazioni. Dopo le prime conferme da parte di Cloudflare, Palo Alto Networks e Zscaler, ora tocca ad altri big della security alzare la mano.
Proofpoint ha dichiarato che gli attacker hanno sfruttato l’integrazione Drift per accedere al proprio tenant Salesforce, visualizzando alcune delle informazioni ivi conservate. Pur precisando che non vi è evidenza di compromissione di software, servizi, prodotti di sicurezza o dati customer, l’episodio solleva questioni non trascurabili sull’hygiene delle supply chain SaaS anche in ambito security.
SpyCloud, ex cliente di Salesloft Drift, ha confermato il breach di campi standard del CRM, precisando però che i dati consumer non sarebbero stati accessibili. L’azienda ha notificato la violazione ai propri clienti già la scorsa settimana.
Tanium ha fornito dettagli più tecnici: l’accesso non autorizzato ha interessato dati come nomi, indirizzi email, numeri di telefono e riferimenti geografici. La società ha tuttavia sottolineato che la violazione è rimasta confinata ai soli dati Salesforce, senza coinvolgere la piattaforma Tanium o altri sistemi interni.
Tenable ha riportato la compromissione di informazioni relative ai casi di supporto, incluse le descrizioni iniziali e i dettagli dei contatti business. Anche in questo caso, non è emersa alcuna prova di un utilizzo malevolo dei dati rubati. La risposta di Tenable ha incluso la rotazione delle credenziali, la rimozione dell’applicazione vulnerabile e un rafforzamento generale dei controlli di monitoring.
Questi incidenti a catena stanno mettendo in luce una verità scomoda: anche chi si occupa di sicurezza per professione non è immune da attacchi sofisticati che sfruttano le interdipendenze tra servizi cloud di terze parti. L’integrazione tra Salesforce e Salesloft Drift, in particolare, si è rivelata un vettore di attacco formidabile, in grado di bypassare controlli di sicurezza perimetrali e accedere direttamente ai repository dati.
Nel frattempo, la macchia si sta allargando a tal punto da aver spinto alla nascita di strumenti di tracking del problema. Nudge Security infatti ha messo online un suo strumento per monitorare i breach che spuntano dal problema con Drift: driftbreach.com.
La vicenda ricorda da vicino altri recenti episodi di supply chain attack, dove un anello debole in un ecosistema integrato può minare la sicurezza di centinaia di organizzazioni contemporaneamente. Il fatto che a farne le spese siano proprio aziende che vendono soluzioni di sicurezza aggiunge un ulteriore livello di complessità al quadro.
Mentre i team IR delle aziende coinvolte sono ancora al lavoro per quantificare l’impatto reale e notificare i soggetti interessati, il caso Salesforce-Salesloft Drift si candida a diventare uno degli episodi più significativi del 2025 in termini di portata e implicazioni per il cloud security posture management.