Salesloft anunció el martes que desconectará temporalmente Drift «en un futuro muy próximo», ya que varias empresas se han visto envueltas en una ola de ataques de gran alcance a la cadena de suministro contra el producto de marketing de software como servicio, que ha provocado el robo masivo de tokens de autenticación.
«Esto proporcionará el camino más rápido para revisar exhaustivamente la aplicación y crear resiliencia y seguridad adicionales en el sistema para que la aplicación vuelva a funcionar por completo», dijo la empresa dijo . «Como resultado, el chatbot de Drift en los sitios web de los clientes no estará disponible y no se podrá acceder a Drift».
La compañía dijo que su principal prioridad es garantizar la integridad y la seguridad de sus sistemas y los datos de los clientes, y que está trabajando con sus socios de ciberseguridad, Mandiant y Coalition, como parte de sus esfuerzos de respuesta a incidentes.
El desarrollo se produce después de Google Threat Intelligence Group (GTIG) y Mandiant divulgado lo que decía era una campaña generalizada de robo de datos que había aprovechado los tokens robados de OAuth y de actualización asociados al agente de chat de inteligencia artificial (IA) Drift para hackear las instancias de Salesforce de los clientes.
«Desde el 8 de agosto de 2025, hasta al menos el 18 de agosto de 2025, el actor atacó las instancias de los clientes de Salesforce mediante tokens de OAuth comprometidos asociados a la aplicación de terceros Salesloft Drift», dijo la empresa la semana pasada.
La actividad se ha atribuido a un grupo de amenazas denominado UNC6395 (también conocido como GRUB1), y Google ha dicho a The Hacker News que más de 700 organizaciones podrían haberse visto potencialmente afectadas.
Si bien inicialmente se afirmó que la exposición se limitaba a la integración de Salesloft con Salesforce, desde entonces se ha descubierto que cualquier plataforma integrada con Drift podría verse comprometida. Por el momento, se desconoce exactamente cómo los actores de la amenaza obtuvieron el acceso inicial a Salesloft Drift.
El incidente también ha llevado a Salesforce a desactivar temporalmente todas las integraciones de Salesloft con Salesforce como medida de precaución. Algunas de las empresas que han confirmado que se han visto afectadas por la infracción son las siguientes:
«Creemos que este incidente no fue un hecho aislado, sino que el actor de la amenaza tenía la intención de recopilar las credenciales y la información de los clientes para futuros ataques», dijo Cloudflare.
«Dado que cientos de organizaciones se vieron afectadas por este compromiso de Drift, sospechamos que el actor de la amenaza utilizará esta información para lanzar ataques dirigidos contra los clientes de todas las organizaciones afectadas».