Salesloft 數據洩露凸顯科技行業供應鏈漏洞

Salesloft 在 3 月份發生的 GitHub 黑客攻擊事件導致的數據洩露，在六個月內未被發現，導致身份驗證令牌被盜，隨後影響了包括 Google、Cloudflare 和 Palo Alto Networks 在內的多家大型科技客戶的數據洩露。此次事件凸顯了軟件供應鏈中的關鍵漏洞，並促使整個科技行業加強審查。

開篇

美國股市在 Salesloft（一家主要的軟體提供商）披露一起重大數據洩露事件後，重新聚焦於 科技行業 的網路安全風險。該事件源於一次 GitHub 賬戶入侵，導致大量使用 Salesloft 第三方集成的大型科技公司敏感數據外洩，凸顯了數位供應鏈中普遍存在的漏洞。

事件詳情

Salesloft 證實，其 GitHub 賬戶於 2025 年 3 月被一個名為 UNC6395（也稱為 GRUB1 或 ShinyHunters）的複雜威脅組織入侵。此次入侵在大約六個月內未被發現。在此期間，威脅行為者獲得了 Salesloft 應用程式環境的訪問權限，下載了程式碼儲存庫，透過訪客用戶賬戶建立了持久訪問，並設置了工作流。

攻擊的關鍵階段涉及威脅行為者轉向 Drift 的 Amazon Web Services (AWS) 環境。在這裡，UNC6395 取得了與 Drift 客戶集成相關的 OAuth 令牌。這些被盜的令牌隨後被用於在 2025 年 8 月 8 日至 8 月 18 日期間，從受影響公司的 Salesforce 實例中訪問和竊取大量數據。超過 700 家組織受到影響，其中包括 Cloudflare、Google (GOOGL)、Palo Alto Networks、Proofpoint、Tenable、Bugcrowd、PagerDuty、Zscaler、Qualys、Tanium、Rubrik 和 BeyondTrust 等知名公司。

被洩露的數據主要包括 Salesforce CRM 信息，例如業務聯絡方式、銷售賬戶記錄和支持案例內容。在某些情況下，數據外洩範圍擴大到可能嵌入的秘密，如 API 密鑰、雲憑據（例如 AWS 訪問密鑰、Snowflake 令牌）和 VPN 憑據。例如，Cloudflare 報告稱其 Salesforce 租戶的客戶支持票證和相關數據被竊取，導致預防性地輪換了 104 個 Cloudflare API 令牌。Google 證實，與 Drift Email 集成相關的小部分 Gmail 賬戶受到有限訪問，並迅速撤銷了受影響的令牌並禁用了該集成。

作為回應，Salesloft 和 Salesforce 立即採取行動，於 8 月 20 日撤銷了 Drift 應用程式的所有活動令牌，Salesforce 在全面調查完成之前暫時將 Drift 從其 AppExchange 中移除。Salesloft 聘請了網路安全公司 Mandiant 和 Coalition 進行事件響應。

市場反應分析

此次洩露事件加劇了負面市場情緒，特別是對依賴第三方集成的公司而言，並擴大了整個 科技行業 的避險情緒。儘管 Salesloft 是一家私人實體，但此次事件對其上市客戶產生了直接和間接的財務影響。受影響的公司現在面臨與事件響應、取證調查、廣泛憑據輪換和增強安全協議相關的巨額非預算成本。

Salesforce (CRM) 是受此次洩露影響的關鍵平台，經歷了顯著的波動。該股票下跌 2.58% 至 249.64 美元。此次下跌因 Salesloft Drift 數據洩露事件而加劇，該事件在其財報發布前加劇了網路安全擔憂。期權交易者表現出激進的看跌期權買入，預示著進一步下跌的預期。更廣泛的應用軟體行業也表現出疲軟，Microsoft (MSFT) 盤中下跌 1.03%，凸顯了更廣泛的行業對人工智能實施風險和網路安全漏洞的擔憂。此次事件表明，即使是強大的內部安全態勢也可能被第三方供應鏈中的漏洞所破壞。

更廣泛的背景和影響

此次 Salesloft 洩露事件為更廣泛的 Web3 生態系統和企業採用趨勢敲響了警鐘，特別是在互聯 SaaS 平台的安全性方面。它清楚地表明，單一第三方集成中的漏洞可能造成系統性風險，導致數百個組織的數據大規模外洩。

"該事件凸顯了在保護 SaaS 應用程式和其他第三方集成方面提高警惕的關鍵需求，因為被洩露的數據可能被用於發起額外的攻擊。"

該事件凸顯了與 OAuth 令牌和連接應用程式相關的 SaaS 安全中持續存在的盲點。它可能會加速採用更嚴格的第三方供應商安全標準，增加對強大身份和訪問管理解決方案的需求，並要求更嚴格的 SaaS 採購盡職調查流程。投資者情緒可能會轉向那些展示出卓越供應鏈安全和事件響應能力的公司，而被認為在數位供應鏈中存在薄弱環節的公司可能面臨更嚴格的審查和潛在的估值調整。此次事件再次強調了對專門針對企業對企業集成進行廣泛數據竊取的複雜威脅行為者進行持續監控和快速響應的必要性。

展望未來

Salesloft 洩露事件的後果將繼續在 科技行業 中蔓延。目前，敦促各公司立即斷開其 Salesforce 環境中所有 Salesloft 連接，卸載相關軟體，並輪換與 Salesforce 連接的所有第三方應用程式和集成的憑據。

未來幾周和幾個月，重點將放在廣泛實施增強的安全協議，包括：憑據撤銷和輪換、對可疑活動的徹底日誌審查和審計，以及在供應商保證安全後才對集成進行仔細的重新認證。此外，預計公司將為所有 SaaS 集成實施多因素身份驗證 (MFA) 和最小權限訪問，並採用零信任訪問控制。主動憑據管理，以及所有 API 密鑰和秘密的定期輪換計劃將成為標準。此次事件還將促使組織對第三方供應商的安全狀況進行更詳細的調查，從而塑造整個行業未來的供應商風險管理策略。