Door een inbraak bij het bedrijf Salesloft hebben criminelen grote hoeveelheden data uit Salesforce-omgevingen van bedrijven weten te stelen, zo waarschuwt Google. Salesloft is een 'sales engagement platform' en biedt een chatapplicatie genaamd Drift die met Salesforce is te integreren. Informatie verzameld via Drift kan vervolgens in Salesforce beschikbaar worden gemaakt. Salesforce is een veelgebruikte leverancier van Customer Relationship Management (CRM) software. Via CRM-systemen houden bedrijven allerlei informatie over klanten en potentiële klanten bij.

Op 20 augustus meldde Salesloft een beveiligingsprobleem met de Drift-applicatie en dat het verbindingen tussen Drift en Salesforce had ingetrokken. Gisteren kwam Salesloft met een update over het incident, waarin het laat weten dat de aanvallers OAuth credentials van de Drift-applicatie gebruikten om gevoelige gegevens uit Salesforce-omgevingen te stelen. Volgens Salesloft had de aanvaller het vooral voorzien op inloggegevens, zoals AWS access keys, wachtwoorden en Snowflake-gerelateerde access tokens. Snowflake is een cloudopslagdienst waar organisaties grote hoeveelheden data opslaan.

Google stelt in een analyse van het incident dat de aanvallers systematisch grote hoeveelheden data uit verschillende zakelijke Salesforce-omgevingen hebben gestolen. De datadiefstallen met de gestolen OAuth credentials vonden volgens Salesloft plaats van 8 tot en met 18 augustus. Hoe Salesloft kon worden gecompromitteerd is niet bekendgemaakt.

Nu alle tokens van de Drift-applicatie zijn ingetrokken moeten beheerders opnieuw hun Salesforce-verbindingen authenticeren. Verder zegt Salesloft dat het alle getroffen klanten zal informeren over wat de aanvallers in hun omgevingen hebben gedaan. Salesforce heeft de Drift-applicatie tot nadere kennisgeving uit de Salesforce AppExchange verwijderd, waar allerlei applicaties voor Salesforce zijn te vinden.