cyberkurs.online – Artur Markiewicz – konsultant, trener – cyberbezpieczeństwo

Opowiadam historie o cyberbezpieczeństwie

Atak na łańcuch dostaw SaaS: Drift i Salesloft

W sierpniu 2025 r. świat SaaS został wstrząśnięty jednym z największych ataków na łańcuch dostaw usług chmurowych. Incydent związany z platformą Drift – popularnym narzędziem do czatbotów i marketingu konwersacyjnego – doprowadził do naruszenia danych ponad 700 organizacji na całym świecie.

Atakujący wykorzystali fakt, że Drift posiadał szerokie integracje z systemami takimi jak Salesloft, Salesforce czy Google Workspace. To właśnie przez skradzione tokeny OAuth uzyskali dostęp do danych klientów.

Geneza ataku

  • Według analizy Google Threat Intelligence Group i Mandiant, grupa UNC6395 od 8 sierpnia 2025 r. kradła tokeny OAuth wykorzystywane przez Drift do komunikacji z systemami klientów.
  • Tokeny pozwoliły im m.in. na wyciąganie danych CRM z Salesforce (kontakty, użytkownicy, case’y, szanse sprzedażowe) oraz na dostęp do niektórych kont Google Workspace.
  • W komunikatach Salesloft potwierdzono, że środowisko głównej aplikacji Salesloft nie zostało skompromitowane, lecz integracja z Drift była krytycznym wektorem ataku.

Reakcje organizacji

Poszczególne firmy zareagowały w różny sposób – ale wszystkie dążyły do szybkiej izolacji i minimalizacji skutków:

  • Cloudflare: odłączyło Drift, obróciło wszystkie sekrety, przeprowadziło pełny audyt i opublikowało transparentny raport (blog.cloudflare.com).
  • Palo Alto Networks: potwierdziło, że incydent ograniczał się do CRM, a produkty i infrastruktura pozostały nienaruszone (paloaltonetworks.com).
  • Zscaler: unieważnił tokeny, wzmocnił kontrole dostawców i ostrzegł klientów przed follow-up phishingiem (itpro.com).
  • Fastly, Dynatrace, Qualys: odcięły Drift, przeanalizowały logi i poinformowały klientów o potencjalnych skutkach (driftbreach.com).

Konsekwencje

  1. Masowa kradzież danych biznesowych – CRM i informacje o klientach stały się celem atakujących.
  2. Zagrożenie wtórnym phishingiem – organizacje ostrzegają, że wyciek danych kontaktowych ułatwia kampanie socjotechniczne.
  3. Utrata zaufania do integracji SaaS – jeden słaby punkt (Drift) okazał się furtką dla całego ekosystemu.
  4. Podniesienie poprzeczki regulacyjnej – incydent stanowi mocny sygnał dla wdrożeń NIS2 i zarządzania ryzykiem dostawców.

10 uniwersalnych rad dla organizacji

  1. Wyłączaj podejrzane integracje – nie czekaj, aż atak się rozwinie.
  2. Rotuj tokeny i klucze – regularnie, a nie tylko po incydentach.
  3. Analizuj logi API – szukaj nietypowych eksportów czy zapytań.
  4. Powiadamiaj interesariuszy szybko – transparentność ogranicza efekt domina.
  5. Twórz zespoły kryzysowe cross-funkcjonalne – bezpieczeństwo, IT, prawnicy, PR, zarząd.
  6. Audytuj dostawców (Third-Party Risk) – regularnie weryfikuj ich poziom bezpieczeństwa.
  7. Ogranicz uprawnienia tokenów OAuth – tylko to, co konieczne i na określony czas.
  8. Usuwaj dane wrażliwe z case/ticketów – by nie stały się celem wycieku.
  9. Wdrażaj monitorowanie anomalii – dla nietypowego użycia integracji SaaS.
  10. Dziel się doświadczeniem – publikuj IOCs i raporty, aby inni mogli szybciej reagować.

Podsumowanie

Atak na Drift i Salesloft to ostrzeżenie dla wszystkich organizacji korzystających z SaaS. Odporność cyfrowa nie kończy się na granicy firmy – obejmuje także cały łańcuch dostaw i partnerów. Wdrożenie praktyk zgodnych z NIS2, lepsze zarządzanie tokenami i proaktywna komunikacja to klucz do ograniczenia ryzyka.

👉 Źródła:

Całe naruszenie w jednym miejscu – Drift Breach Tracker

Wszystkie potwierdzone oświadczenia firm dotkniętych incydentem znajdziesz zebrane na jednej stronie: Drift Breach Tracker (powered by Nudge Security) — https://www.driftbreach.com/. To centrum informacji zawiera aktualizowaną listę organizacji, które doświadczyły wycieku danych poprzez skradzione tokeny OAuth Salesloft-Drift. Znajdziesz tam m.in. firmy takie jak Fastly, Dynatrace, Qualys, Nutanix, Elastic, Sigma Computing, Esker, CyberArk, Workiva, Cato Networks, JFrog, a także szczegóły o zakresie naruszenia, datach oraz podjętych działaniach odcięcia integracji, analizy incydentu po powiadomienia klientów.

,

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

cyberkurs.online  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.