W sierpniu 2025 roku światem cyberbezpieczeństwa wstrząsnęły jednocześnie dwa powiązane ze sobą incydenty, które unaoczniły, jak poważnym zagrożeniem mogą być integracje OAuth z aplikacjami trzecimi. Najpierw doszło do masowego ataku supply-chain, w którym zagrożony został system Salesforce zintegrowany z aplikacją Salesloft Drift – skutkiem były wycieki danych z organizacji takich jak Palo Alto Networks czy Zscaler. Równolegle, w innym przypadku, firma Elastic potwierdziła, iż poprzez integrację „Drift Email” uzyskano dostęp do firmowej skrzynki mailowej, w której znaleziono prawdziwe dane uwierzytelniające. W niniejszym artykule szczegółowo omawiamy te dwa incydenty, analizując aspekty techniczne naruszenia i przedstawiając najważniejsze wnioski dla bezpieczeństwa.
Zarys globalnego ataku – Salesloft Drift jako wektor supply-chain
Między 8 a 18 sierpnia 2025 roku groźny aktor, oznaczony przez Google Threat Intelligence Group jako UNC6395, wykorzystał skradzione tokeny OAuth (zarówno access, jak i refresh tokens) aplikacji Salesloft Drift, aby uzyskać nieautoryzowany dostęp do instancji Salesforce wielu firm.
Poprzez manipulację połączeniami OAuth (OAuth 2.0 pozwalające na dostęp bez bezpośredniego ujawnienia loginu i hasła) atakujący wykonali masową eksfiltrację danych z obiektów Salesforce: Account, Contact, Case, Opportunity. Z wykradzionych informacji wyszukiwano dane uwierzytelniające do innych systemów – klucze AWS, tokeny Snowflake, hasła – które mogły ułatwić dalsze włamania.
Aby uniknąć detekcji, atakujący korzystali z automatycznych narzędzi napisanych w Pythonie (używany był User-Agent: python-requests/2.32.4, Python/3.11 aiohttp/3.12.15, Salesforce-Multi-Org-Fetcher/1.0) oraz usuwali zapytania z logów (anti-forensic), a część aktywności maskowali przez sieć Tor.
Skala naruszeń – kto został dotknięty?
Ofiarami ataku padły między innymi:
- Palo Alto Networks – skradziono dane kontaktowe i zapisy wsparcia klientów w CRM,
- Zscaler – wyciek informacji o klientach, w tym szczegóły kontaktowe i treści zgłoszeń wsparcia (bez załączników),
- Cloudflare, PagerDuty, Tenable, Qualys, Dynatrace, ale też Google – poniekąd jako badacz, który potwierdził dostęp do niewielkiej liczby kont Workspace.
Łącznie atak dotknął ponad 700 organizacji.
Elastic – atak na e-mail przez Drift Email
Elastic ujawniło, iż incydent z Salesloft Drift doprowadził do uzyskania nieautoryzowanego dostępu do wewnętrznego konta e-mail poprzez integrację z „Drift Email”. Chociaż główna instancja Salesforce nie została naruszona, to właśnie ta skrzynka e-mail pozwoliła na odczyt nielicznych wiadomości, wśród których znaleziono prawdziwe dane uwierzytelniające. W odpowiedzi Elastic natychmiast przeprowadziło dochodzenie, wyłączyło wszystkie integracje Drift, przejrzało logi dostępu oraz powiadomiło potencjalnie dotkniętych klientów.
Techniczne spojrzenie na incydenty
- OAuth jako słabe ogniwo – wykorzystanie prawowitych tokenów OAuth pozwoliło na obejście klasycznych zabezpieczeń, takich jak MFA, ponieważ dostęp uzyskiwany był w ramach zaufanej integracji
- Użycie automatyzacji – skryptowane działania (Python), maskowanie aktywności, usuwanie jobów – typowe dla dojrzałych kampanii
- Eksfiltracja danych – wykradane były zarówno CRM-owe dane kontaktowe, jak i embedded secrets (AWS, Snowflake, VPN/SSO)
- Drift Email jako „furtka” – choćby jeżeli podstawowe środowisko nie zostało dotknięte, integracja poczty e-mail umożliwiła skuteczne dotarcie do danych – modelowy „side-channel”
Reakcje i środki zaradcze
- Salesloft i Salesforce: 20 sierpnia zarówno Salesloft, jak i Salesforce podjęły kroki – Salesloft unieważnił wszystkie aktywne tokeny Drift, Salesforce tymczasowo usunął aplikację Drift z AppExchange
- Firmy dotknięte incydentem: natychmiastowa rotacja tokenów, audyt logów (szczególnie SOQL), analiza logów użytkowników API, powiadomienia klientów, wdrożenie Zero Trust, czujność na phishing czy dalsze próby kontynuacji ataku
- Elastic: szybka izolacja integracji, analiza IOCs, monitoring OSINT oraz transparentna komunikacja
Wnioski i rekomendacje
- Zarządzanie aplikacjami trzecimi – każda integracja (prezentowana jako zaufana) może stać się wektorem ataku.
- Kontrola dostępu do krytycznych integracji – w tym Drift Email, Slack, Google Workspace.
- Rotacja tokenów OAuth – szczególnie po incydencie, natychmiastowe unieważnienie i wymiana.
- Monitoring i audyt SOQL – wykrywaj masowe ekstrakcje danych.
- Zero Trust – brak domyślnego zaufania wobec integracji i kont.
- Edukacja i analiza tzw. side-channeli – jak e-maile, notatki wsparcia CRM (support cases) zawierające „sekrety” mogą być krytycznym słabym ogniwem.
Podsumowanie
Zarówno masowy atak supply-chain poprzez Salesloft Drift, jak i specyficzny incydent Elastic pokazują, jak niebezpieczne mogą być pozornie użyteczne integracje OAuth. Zaufanie nigdy nie jest bezwarunkowe – każda integracja wymaga stałego monitorowania, audytu i kontrolowanej restrykcji dostępu. Indywidualne incydenty oraz ich skalę łatwo dostrzec dopiero retrospektywnie – dlatego najlepszą linią obrony jest proaktywne podejście do bezpieczeństwa w architekturze SaaS.
