Salesloft ha revelado que la violación de datos vinculada a su aplicación Drift comenzó con el compromiso de su cuenta de GitHub.
Mandiant, propiedad de Google, que inició una investigación sobre el incidente, dijo que el actor de la amenaza, rastreado como UNC6395, accedió a la cuenta GitHub de Salesloft de marzo a junio de 2025. Hasta ahora, 22 empresas lo han hecho confirmada se vieron afectados por una brecha en la cadena de suministro.
«Con este acceso, el actor de la amenaza pudo descargar contenido de varios repositorios, agregar un usuario invitado y establecer flujos de trabajo», dijo Salesloft dijo en un aviso actualizado.
La investigación también descubrió actividades de reconocimiento que tuvieron lugar entre marzo de 2025 y junio de 2025 en los entornos de aplicaciones Salesloft y Drift. Sin embargo, hizo hincapié en que no hay evidencia de ninguna actividad más allá del reconocimiento limitado.
En la siguiente fase, los atacantes accedieron al entorno Amazon Web Services (AWS) de Drift y obtuvieron tokens de OAuth para las integraciones tecnológicas de los clientes de Drift, y los tokens de OAuth robados se utilizaron para acceder a los datos a través de las integraciones de Drift.
Salesloft dijo que ha aislado la infraestructura, la aplicación y el código de Drift, y desconectó la aplicación a partir del 5 de septiembre de 2025 a las 6 a.m., hora del este También ha cambiado las credenciales en el entorno de Salesloft y ha reforzado el entorno con controles de segmentación mejorados entre las aplicaciones de Salesloft y Drift.
«Recomendamos que todas las aplicaciones de terceros integradas con Drift mediante una clave de API revoquen de forma proactiva la clave existente para estas aplicaciones», adicional .
A partir del 7 de septiembre de 2025 a las 17:51 UTC, Salesforce restableció la integración con la plataforma Salesloft tras suspenderla temporalmente el 28 de agosto. Esto se ha hecho en respuesta a las medidas de seguridad y los pasos correctivos implementados por Salesloft.
«Salesforce ha vuelto a habilitar las integraciones con las tecnologías de Salesloft, con la excepción de cualquier aplicación Drift», dijo Salesforce dijo . «Drift permanecerá desactivado hasta nuevo aviso como parte de nuestra respuesta continua al incidente de seguridad».