Salesloft ha revelado que la violación de datos vinculada a su aplicación de deriva comenzó con el compromiso de su cuenta GitHub.
Mandiant, propiedad de Google, que comenzó una investigación sobre el incidente, dijo que el actor de amenazas, rastreado como UNC6395, accedió a la cuenta de Github de Salesloft desde marzo hasta junio de 2025. Hasta ahora, 22 compañías han confirmado que se vieron afectadas por una violación de la esclavitud de suministro.
“Con este acercamiento, el actor de amenaza pudo descargar contenido de múltiples repositorios, sumar un sucesor invitado y establecer flujos de trabajo”, dijo Salesloft en un aviso actualizado.
La investigación asimismo descubrió actividades de gratitud que ocurrieron entre marzo de 2025 y junio de 2025 en los entornos de aplicación de SalesLoft y Drift. Sin retención, enfatizó que no hay evidencia de ninguna actividad más allá del gratitud establecido.
En la sucesivo período, los atacantes accedieron al entorno de Amazon Web Services (AWS) de Drift y obtuvieron tokens OAuth para las integraciones tecnológicas de los clientes de Drift, con los tokens OAuth robados utilizados para consentir a datos a través de integraciones de deriva.
Salesloft dijo que ha eventual la infraestructura de deriva, la aplicación y el código, y que la aplicación fuera a partir del 5 de septiembre de 2025 a las 6 a.m. ET. Asimismo ha girado las credenciales en el entorno SalesLoft y endureció el entorno con controles de segmentación mejorados entre las aplicaciones de SalesLoft y Drift.
“Recomendamos que todas las aplicaciones de terceros se integren con Drift a través de la esencia API, revocen proactivamente la esencia existente para estas aplicaciones”, agregó.
Al 7 de septiembre de 2025 a las 5:51 pm UTC, Salesforce ha restaurado la integración con la plataforma SalesLoft a posteriori de suspenderla temporalmente el 28 de agosto. Esto se ha hecho en respuesta a medidas de seguridad y pasos de remediación implementados por SalesLoft.
“Salesforce ha vuelto a habilitar las integraciones con SalesLoft Technologies, con la excepción de cualquier aplicación de deriva”, dijo Salesforce. “La deriva permanecerá deshabilitada hasta nuevo aviso como parte de nuestra respuesta continua al incidente de seguridad”.
