Компания Drift раскрыла детали инцидента с интеграцией Salesforce. С 8 по 18 августа 2025 года неизвестный использовал OAuth-учётные данные и выгружал данные из клиентских инстансов Salesforce. По словам компании, основной целью было похищение секретов – от AWS-ключей и паролей до токенов доступа, связанных со Snowflake. Затронуты только те организации, у которых была включена связка Drift-Salesforce, для остальных риск не подтверждён.
Совместно с Salesforce были оперативно аннулированы все действующие access- и refresh-токены для приложения Drift, из-за чего администраторам потребуется заново пройти аутентификацию, чтобы восстановить работу интеграции. К расследованию подключена внешняя DFIR-команда , признаков продолжающейся злонамеренной активности на сегодняшний день компания не видит. Клиентам обещали предоставить персональные расшифровки действий злоумышленника в их окружениях.
Исследование активности показало прицельный интерес атакующего к полям, где теоретически могут оказаться секреты. В Salesforce запрашивались объекты Cases, Accounts, Users и Opportunities, причём использовались как массовые выборки для “снятия слепка” тикетов, так и точечные проверки на наличие шаблонов секретов. В качестве примеров приводятся два SOQL-запроса:
Для сплошного просмотра полей в заявках: “SELECT Id, Description, Subject, Comments FROM Case WHERE CreatedDate >= 😡 ORDER BY CreatedDate DESC NULLS FIRST LIMIT 2000”.
Для адресного “пробивания” поля на совпадения с известными паттернами: “SELECT Id FROM Case WHERE SuppliedEmail LIKE 😡 LIMIT 1000”.
Параметр “:x” варьировался в зависимости от цели выборки.
Для самостоятельного поиска следов вторжения опубликованы индикаторы компрометации. В HTTP-трафике обращают внимание три необычных “подписи” User-Agent – “python-requests/2.32.4”, “Salesforce-Multi-Org-Fetcher/1.0” и “Python/3.11 aiohttp/3.12.15”. Drift подчёркивает, что перечень IOC будет дополняться, а клиентам предоставят развёрнутые таймлайны действий злоумышленника в их инстансах.