SalesLoft heeft dinsdag aangekondigd dat het tijdelijk offline drijft “in de zeer nabije toekomst”, omdat meerdere bedrijven zijn verstrikt in een verstrekkende aanval van de supply chain-aanval die zich richt op het marketingsoftware-as-a-service-product, wat resulteert in de massadiefstal van authenticatietokens.
“Dit zal het snelste pad vooruit bieden om de applicatie volledig te beoordelen en extra veerkracht en beveiliging in het systeem op te bouwen om de applicatie terug te brengen naar volledige functionaliteit,” zei het bedrijf. “Als gevolg hiervan is de driftchatbot op klantenwebsites niet beschikbaar en is drift niet toegankelijk.”
Het bedrijf zei dat het de beste prioriteit is om de integriteit en beveiliging van de gegevens van zijn systemen en klanten te waarborgen, en dat het werkt met cybersecurity -partners, Mandiant en Coalition, als onderdeel van de inspanningen van het incidentrespons.
De ontwikkeling komt nadat Google Threat Intelligence Group (GTIG) en Mandiant hebben onthuld wat het zei was een wijdverbreide campagne voor gegevensdiefstal die gestolen oAuth en vernieuwing van tokens geassocieerd met de chatagent van Drift Artificial Intelligence (AI) heeft gebruikt om de verkoopinstanties van klanten te breken.
“Beginnend al in 8 augustus 2025, tot op 18 augustus 2025, richtte de acteur zich op Salesforce-klantinstanties door gecompromitteerde oauth-tokens die verband hielden met de SalesLoft Drift-drift derden,” zei het bedrijf vorige week.
De activiteit is toegeschreven aan een bedreigingscluster genaamd UNC6395 (aka Grub1), waarbij Google de Hacker News vertelt dat meer dan 700 organisaties mogelijk kunnen zijn beïnvloed.
Hoewel aanvankelijk werd beweerd dat de blootstelling beperkt was tot de integratie van SalesLoft met Salesforce, is er sindsdien naar voren gekomen dat elk platform geïntegreerd met drift mogelijk is aangetast. Precies hoe de dreigingsacteurs initiële toegang tot SalesLoft Drift hebben gekregen, blijft in dit stadium onbekend.
Het incident heeft Salesforce ook ertoe aangezet om alle SalesLoft -integraties met Salesforce als voorzorgsmaatregel tijdelijk uit te schakelen. Sommige van de bedrijven die hebben bevestigd dat ze door de inbreuk worden beïnvloed, zijn als volgt –
“Wij geloven dat dit incident geen geïsoleerde gebeurtenis was, maar dat de dreigingsacteur van plan was om referenties en klantinformatie te oogsten voor toekomstige aanvallen,” zei Cloudflare.
“Gezien het feit dat honderden organisaties werden getroffen door dit driftcompromis, vermoeden we dat de dreigingsacteur deze informatie zal gebruiken om gerichte aanvallen op klanten in de getroffen organisaties te lanceren.”
