Update: Supply-Chain-Angriff über Salesloft Drift könnte Hunderte Firmen betreffen

Update vom 23.09.2025: Das Klauen von Salesloft-Drift-Authentifizierungstokens hat sich für die Cyberkriminellen offenbar gelohnt. Gegenüber "Bleeping Computer" lässt eine der involvierten Hackergruppen namens Shiny Hunters verlauten, sie habe insgesamt 1,5 Milliarden Datensätze aus dem Salesforce-CRM-Fundus abgreifen können. Es handle sich um Daten von rund 760 verschiedenen Unternehmen. Nach Datentypen aufgeschlüsselt, sind fast 580 Millionen der Datensätze aus der Kategorie "Kontakte". Danach folgen 460 Millionen Datensätze aus der "Case"-Datenbank und 250 Millionen aus dem "Accounts"-Speicher. In der "Case"-Datenbank seien Daten der erfassten Support-Tickets enthalten, inklusive der dazu gehörenden Problembeschreibungen. Insbesondere hier könnten auch besonders schützenswerte Daten stecken, analysiert "Bleeping Computer". Das Portal merkt an, dass inzwischen unter anderem die US-amerikanische Bundespolizei FBI vor den Hackergruppen warnt, die sie mit dem Salesloft-Drift-Angriff in Verbindung bringt.

Originalmeldung vom 5.9.2025:

Supply-Chain-Angriff über Salesloft Drift trifft Security-Branche

Kriminelle Hacker haben während eines Angriffs auf Salesloft Drift Authentifizierungstokens gestohlen, wie "CRN" berichtet. Die Täter können diese Tokens nutzen, um sich Zugriff auf Salesforce-CRM-Systeme von Drift-Kunden zu verschaffen. Die Liste der Opfer wächst. Darunter sind auch prominente Cybersicherheits-Anbieter wie Tanium, Zscaler, Palo Alto Networks, Cloudflare und Spycloud.

Die Google Threat Intelligence Group deckte die Salesloft-Drift-Kampagne am 26. August auf. Demnach griffen Cyberkriminelle (von Google als UNC6395 bezeichnet) bereits seit dem 9. August über Drittanbieter-Anwendungen wie Salesloft und Drift Unternehmenssysteme an. Google warnt vor der laufenden Angriffswelle und rät betroffenen Firmen, alle Integrationen zu prüfen, deren Zugangsdaten zu erneuern und Systeme auf unberechtigte Zugriffe zu untersuchen.

Mindestens fünf grosse Cybersicherheitsfirmen bestätigen bereits Vorfälle. Sowohl bei Tanium als auch bei Zscaler erbeuteten die Angreifer vor allem Kundendaten wie Namen, geschäftliche E-Mail-Adressen und Telefonnummern. Bei Tanium erfolgte der Zugriff über Salesloft und Salesforce. Zscaler betont, dass eigene Produkte und Systeme nicht betroffen sind. 

Auch Spycloud meldet den Zugriff auf Standard-Kundendaten in Salesforce, während Palo Alto Networks den Abfluss von geschäftlichen Kontaktinformationen und Support-Daten bestätigt. Okta wehrte einen entsprechenden Angriffsversuch eigenen Angaben zufolge durch Sicherheitsmassnahmen wie IP-Adressen-Beschränkungen ab.

Besonders heikel ist der Fall Cloudflare: Hier erbeuteten die Angreifer möglicherweise Supportdaten, die sensible Informationen wie Zugriffstoken enthalten. Das Unternehmen fordert seine Kunden daher dringend auf, alle im Support geteilten Anmeldedaten zu ändern.

Das volle Ausmass des Angriffs ist noch unklar. Spycloud und Palo Alto Networks warnen, dass ausser ihnen "Hunderte" weitere Unternehmen betroffen sein könnten.

Im August meldete übrigens Cisco eine Sicherheitslücke in der Secure Firewall Management Center Software, die Remote-Codeausführung ermöglichen könnte - mehr dazu lesen Sie hier.  

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.