Im August 2025 wurde eine Serie von Datendiebstählen bekannt, bei denen Angreifer auf Salesforce-Kundendaten zugriffen. Betroffen waren unter anderem Google und Cloudflare.
Die Angreifer nutzten indirekte Wege über das erweiterte Partner- und Integrationsökosystem, also über Drittanbieteranwendungen und menschliche Schwachstellen. Über gestohlene OAuth-Tokens der Chatbot-Anwendung Salesloft Drift, die mit Salesforce verbunden war, konnten sich die Angreifer als legitime Anwendung ausgeben und so Zugriff auf zahlreiche Kundeninstanzen erlangen.
Innerhalb weniger Minuten wurden über die Salesforce Bulk API Exporte sowie manuell gestartete Abfragen durchgeführt, die Kundendaten, Support-Tickets und teilweise auch vertrauliche Inhalte aus Textfeldern enthielten. Die Angreifer durchsuchten die erbeuteten Datensätze anschließend gezielt nach Zugangsdaten, etwa AWS-Schlüsseln oder Snowflake-Tokens. Nach Angaben von Cloudflare wurden dabei in kompromittierten Support-Fällen über 104 eigene API-Tokens im Klartext gefunden und sofort zurückgesetzt.
Der Vorfall macht deutlich, wie anfällig komplexe SaaS-Umgebungen für Angriffe sein können. Häufig sind OAuth-Integrationen mit zu weitreichenden Berechtigungen und dauerhaft gültigen Tokens ausgestattet, die unbemerkten Zugriff über längere Zeiträume ermöglichen. In Kombination mit überprivilegierten App-Rechten, fehlender Überwachung und sensiblen Informationen wie API-Schlüsseln oder Passwörtern in Support-Fällen entsteht ein erhebliches Sicherheitsrisiko.
Unternehmen sollten daher ein konsequentes Identity- und Access-Management umsetzen, OAuth-Integrationen regelmäßig prüfen, Berechtigungen auf das Nötigste beschränken und vertrauliche Daten grundsätzlich nicht in Support- oder Ticketsystemen speichern.