Salesloft 数据泄露凸显科技行业供应链漏洞

Salesloft 在 3 月份发生的 GitHub 黑客攻击事件导致的数据泄露，在六个月内未被发现，导致身份验证令牌被盗，随后影响了包括谷歌、Cloudflare 和 Palo Alto Networks 在内的多家大型科技客户的数据泄露。此次事件凸显了软件供应链中的关键漏洞，并促使整个科技行业加强审查。

开篇

美国股市在 Salesloft（一家主要的软件提供商）披露一起重大数据泄露事件后，重新聚焦于 科技行业 的网络安全风险。该事件源于一次 GitHub 账户入侵，导致大量使用 Salesloft 第三方集成的大型科技公司敏感数据外泄，凸显了数字供应链中普遍存在的漏洞。

事件详情

Salesloft 证实，其 GitHub 账户于 2025 年 3 月被一个名为 UNC6395（也称为 GRUB1 或 ShinyHunters）的复杂威胁组织入侵。此次入侵在大约六个月内未被发现。在此期间，威胁行为者获得了 Salesloft 应用程序环境的访问权限，下载了代码存储库，通过访客用户账户建立了持久访问，并设置了工作流。

攻击的关键阶段涉及威胁行为者转向 Drift 的 Amazon Web Services (AWS) 环境。在这里，UNC6395 获取了与 Drift 客户集成相关的 OAuth 令牌。这些被盗的令牌随后被用于在 2025 年 8 月 8 日至 8 月 18 日期间，从受影响公司的 Salesforce 实例中访问和窃取大量数据。超过 700 家组织受到影响，其中包括 Cloudflare、Google (GOOGL)、Palo Alto Networks、Proofpoint、Tenable、Bugcrowd、PagerDuty、Zscaler、Qualys、Tanium、Rubrik 和 BeyondTrust 等知名公司。

被泄露的数据主要包括 Salesforce CRM 信息，例如业务联系方式、销售账户记录和支持案例内容。在某些情况下，数据外泄范围扩大到可能嵌入的秘密，如 API 密钥、云凭据（例如 AWS 访问密钥、Snowflake 令牌）和 VPN 凭据。例如，Cloudflare 报告称其 Salesforce 租户的客户支持票证和相关数据被窃取，导致预防性地轮换了 104 个 Cloudflare API 令牌。Google 证实，与 Drift Email 集成相关的小部分 Gmail 账户受到有限访问，并迅速撤销了受影响的令牌并禁用了该集成。

作为回应，Salesloft 和 Salesforce 立即采取行动，于 8 月 20 日撤销了 Drift 应用程序的所有活动令牌，Salesforce 在全面调查完成之前暂时将 Drift 从其 AppExchange 中移除。Salesloft 聘请了网络安全公司 Mandiant 和 Coalition 进行事件响应。

市场反应分析

此次泄露事件加剧了负面市场情绪，特别是对依赖第三方集成的公司而言，并 усили了整个 科技行业 的避险情绪。尽管 Salesloft 是一家私人实体，但此次事件对其上市客户产生了直接和间接的财务影响。受影响的公司现在面临与事件响应、取证调查、广泛凭据轮换和增强安全协议相关的巨额非预算成本。

Salesforce (CRM) 是受此次泄露影响的关键平台，经历了显著的波动。该股票下跌 2.58% 至 249.64 美元。此次下跌因 Salesloft Drift 数据泄露事件而加剧，该事件在其财报发布前加剧了网络安全担忧。期权交易者表现出激进的看跌期权买入，预示着进一步下跌的预期。更广泛的应用软件行业也表现出疲软，Microsoft (MSFT) 盘中下跌 1.03%，凸显了更广泛的行业对人工智能实施风险和网络安全漏洞的担忧。此次事件表明，即使是强大的内部安全态势也可能被第三方供应链中的漏洞所破坏。

更广泛的背景和影响

此次 Salesloft 泄露事件为更广泛的 Web3 生态系统和企业采用趋势敲响了警钟，特别是在互联 SaaS 平台的安全性方面。它清楚地表明，单一第三方集成中的漏洞可能造成系统性风险，导致数百个组织的数据大规模外泄。

"该事件凸显了在保护 SaaS 应用程序和其他第三方集成方面提高警惕的关键需求，因为被泄露的数据可能被用于发起额外的攻击。"

该事件凸显了与 OAuth 令牌和连接应用程序相关的 SaaS 安全中持续存在的盲点。它可能会加速采用更严格的第三方供应商安全标准，增加对强大身份和访问管理解决方案的需求，并要求更严格的 SaaS 采购尽职调查流程。投资者情绪可能会转向那些展示出卓越供应链安全和事件响应能力的公司，而被认为在数字供应链中存在薄弱环节的公司可能面临更严格的审查和潜在的估值调整。此次事件再次强调了对专门针对企业对企业集成进行广泛数据窃取的复杂威胁行为者进行持续监控和快速响应的必要性。

展望未来

Salesloft 泄露事件的后果将继续在 科技行业 中蔓延。目前，敦促各公司立即断开其 Salesforce 环境中所有 Salesloft 连接，卸载相关软件，并轮换与 Salesforce 连接的所有第三方应用程序和集成的凭据。

未来几周和几个月，重点将放在广泛实施增强的安全协议，包括：凭据撤销和轮换、对可疑活动的彻底日志审查和审计，以及在供应商保证安全后才对集成进行仔细的重新认证。此外，预计公司将为所有 SaaS 集成实施多因素身份验证 (MFA) 和最小权限访问，并采用零信任访问控制。主动凭据管理，以及所有 API 密钥和秘密的定期轮换计划将成为标准。此次事件还将促使组织对第三方供应商的安全状况进行更详细的调查，从而塑造整个行业未来的供应商风险管理策略。