{"id":2552,"date":"2025-10-31T20:41:55","date_gmt":"2025-10-31T19:41:55","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=2552"},"modified":"2025-10-31T20:41:55","modified_gmt":"2025-10-31T19:41:55","slug":"salesloft-drift-breach","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=2552&lang=de","title":{"rendered":"Salesloft Drift Breach"},"content":{"rendered":"\n

Im August 2025 wurde eine Serie von Datendiebst\u00e4hlen bekannt, bei denen Angreifer auf Salesforce-Kundendaten zugriffen. Betroffen waren unter anderem Google und Cloudflare.
Die Angreifer nutzten indirekte Wege \u00fcber das erweiterte Partner- und Integrations\u00f6kosystem, also \u00fcber Drittanbieteranwendungen und menschliche Schwachstellen. \u00dcber gestohlene OAuth-Tokens der Chatbot-Anwendung Salesloft Drift, die mit Salesforce verbunden war,\u00a0konnten sich die Angreifer als legitime Anwendung ausgeben und so Zugriff auf zahlreiche Kundeninstanzen erlangen.<\/a>
Innerhalb weniger Minuten wurden \u00fcber die Salesforce Bulk API Exporte sowie manuell gestartete Abfragen durchgef\u00fchrt, die Kundendaten, Support-Tickets und teilweise auch vertrauliche Inhalte aus Textfeldern enthielten. Die Angreifer durchsuchten die erbeuteten Datens\u00e4tze anschlie\u00dfend gezielt nach Zugangsdaten, etwa AWS-Schl\u00fcsseln oder Snowflake-Tokens.\u00a0Nach Angaben von Cloudflare<\/a>\u00a0wurden dabei in kompromittierten Support-F\u00e4llen \u00fcber 104 eigene API-Tokens im Klartext gefunden und sofort zur\u00fcckgesetzt.<\/p>\n\n\n\n

Der Vorfall macht deutlich, wie anf\u00e4llig komplexe SaaS-Umgebungen f\u00fcr Angriffe sein k\u00f6nnen. H\u00e4ufig sind OAuth-Integrationen mit zu weitreichenden Berechtigungen und dauerhaft g\u00fcltigen Tokens ausgestattet, die unbemerkten Zugriff \u00fcber l\u00e4ngere Zeitr\u00e4ume erm\u00f6glichen. In Kombination mit \u00fcberprivilegierten App-Rechten, fehlender \u00dcberwachung und sensiblen Informationen wie API-Schl\u00fcsseln oder Passw\u00f6rtern in Support-F\u00e4llen entsteht ein erhebliches Sicherheitsrisiko.<\/p>\n\n\n\n

Unternehmen sollten daher ein konsequentes Identity- und Access-Management umsetzen, OAuth-Integrationen regelm\u00e4\u00dfig pr\u00fcfen, Berechtigungen auf das N\u00f6tigste beschr\u00e4nken und vertrauliche Daten grunds\u00e4tzlich nicht in Support- oder Ticketsystemen speichern.<\/p>\n","protected":false},"excerpt":{"rendered":"

Im August 2025 wurde eine Serie von Datendiebst\u00e4hlen bekannt, bei denen Angreifer auf Salesforce-Kundendaten zugriffen. Betroffen waren unter anderem Google und Cloudflare.Die<\/p>\n

Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2552"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2552"}],"version-history":[{"count":2,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2552\/revisions"}],"predecessor-version":[{"id":2554,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2552\/revisions\/2554"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2552"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2552"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2552"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}