Stellen Sie sich vor, Sie würden einem KI-Chatbot wie Drift vertrauen, um Ihre Kundeninteraktionen zu optimieren. Stellen Sie sich nun vor, der Bot würde zum Sprungbrett für Hacker, die Ihre Salesforce-Systeme infiltrieren. Dieses Szenario hat sich diesen Sommer für Hunderte von Unternehmen abgespielt.
Mitte August kam es zu einer Welle von Sicherheitsverletzungen, die Salesforce-Instanzen über gestohlene OAuth-Token angegriffen hatten, die an die SalesLoft–Drift Integration. Der Angriff war verbunden mit ShinyHunters, bekannt dafür, große Unternehmen ins Visier zu nehmen, die diese Token nutzten, um unbemerkt Daten abzuschöpfen – alles von Kundenkontakten und Support-Fallprotokollen bis hin zu Anmeldeinformationen und internen Notizen von Plattformen wie Cloudflare, Palo Alto Networks, Zscaler, SpyCloud und anderen.
Dieser Verstoß war kein Einzelfall, sondern eine massive Warnung. Der Verstoß betraf Cybersicherheitsverantwortliche mehrerer Anbieter. Google berichtete von Ausfällen, die sich auf die betroffenen Google Workspace Konten, und Sicherheitsteams bemühten sich, einer wachsenden Welle gezielter Phishing-, Credential-Stuffing- und lateraler Angriffskampagnen entgegenzuwirken.
Der Verstoß verdeutlicht eine harte Wahrheit: Da SaaS-Ökosysteme immer stärker vernetzt werden, müssen Unternehmen genau wissen, wo sich sensible Daten und Anmeldeinformationen befinden. wer hat Zugriffund wie Angreifer diese Verbindungen ausnutzen könnten.
Ursachen des Salesloft Drift-Verstoßes
1. Vertrauenswürdiger Zugriff durch Dritte ohne Aufsicht
Die Angreifer drangen nicht mit roher Gewalt in die Systeme ein; sie nutzten OAuth-Token im Zusammenhang mit der Chat-Integration von SalesLoft–Drift. Diese Token fungierten als Generalschlüssel für Salesforce-Instanzen von über 700 Organisationen und gewährten erweiterten, unüberwachten Zugriff auf kritische Daten. Ohne zentrale Kontrolle oder Transparenz über Drittanbieter-AppsUnternehmen hatten keine Echtzeit-Informationen darüber, wer was sah. Diese vertrauenswürdige Integration wurde zu einer Schwachstelle, die als Angriffsvektor ausgenutzt wurde.
2. Unbefugte Massenexfiltration von Daten
Einmal im System angekommen, gingen die Angreifer schnell und sauber vor. Sie exportierten umfangreiche Daten, darunter Konten, Kontakte, Fälle und Verkaufschancen, über Salesforce Bulk API 2.0 in weniger als drei Minuten. Anschließend löschten sie aktiv Abfrageprotokolle, um ihre Spuren zu verwischen. Dieses Playbook demonstriert ein hohes Maß an Automatisierung und Tarnung und veranschaulicht ein Exfiltration-as-a-Service-Modell.
3. Langsame Schadenserkennung
Viele Unternehmen bemerkten den Verstoß erst nach der Sperrung des Zugriffs. Salesforce und SalesLoft mussten die Integration vollständig deaktivieren und die Token sperren. Erst dann begannen Transparenz und Protokollprüfung. Zu diesem Zeitpunkt hatten Angreifer bereits Anmeldeinformationen und vertrauliche Daten gesammelt, was weitere Angriffe ermöglichen könnte.
4. Fehlende Einblicke in den Zugriff nach einem Vorfall
Selbst nach Entdeckung des Datenlecks hatten Unternehmen Schwierigkeiten, die genauen Daten zu ermitteln, die betroffenen Benutzer zu identifizieren und festzustellen, wo Token-Operationen stattfanden. Ohne diese Datentransparenz und -intelligenz ist die laterale Schadensbegrenzung – wie Token-Rotation, Benutzerbenachrichtigung und rechtliche Triage – langsam und fragmentiert.
Was Unternehmen tun sollten, um diese Art von Sicherheitsverletzungen zu bekämpfen
Integrationen machen SaaS-Plattformen leistungsfähiger, bringen aber auch neue Risiken mit sich. Um die Wahrscheinlichkeit eines Datenlecks wie beim Salesloft-Drift-Vorfall zu verringern, sollten Sicherheitsteams:
Verbessern Sie die Sicherheit der SaaS-Integration
OAuth-Token und App-Integrationen von Drittanbietern stellen eine versteckte Angriffsfläche dar. Unternehmen sollten regelmäßig prüfen, welche Apps mit Plattformen wie Salesforce verbunden sind, welche Bereiche und Datenzugriffe ihnen gewährt wurden, und alle unnötigen oder inaktiven Integrationen entfernen.
Bewerten Sie die Sicherheitsfunktionen von Drittanbietern
Umfassende Due Diligence des Verkäufers ist ebenso wichtig; Unternehmen müssen von ihren Lieferanten verlangen, dass sie robuste Sicherheitspraktiken befolgen, sich regelmäßigen Überprüfungen unterziehen und den Nachweis der Einhaltung anerkannter Standards erbringen, wie z. B. ISO 27001 oder SOC 2.
Verbessern Sie die Datentransparenz und -überwachung
Datenpannen bleiben oft wochenlang unentdeckt, da Unternehmen keinen Einblick in den Zugriff auf und die Übertragung von Daten haben. Unternehmen sollten automatisierte Erkennung und Überwachung Lösungen, die Datenflüsse in und aus SaaS-Plattformen katalogisieren, Anomalien wie Massenexporte oder nicht standardmäßige Abfragen erkennen und Flaggenschatten-KI oder unbefugte App-Nutzung.
Durchsetzung strenger Identitäts- und Zugriffskontrollen
OAuth-basierte Angriffe nutzen schwache Zugriffskontrollen aus. Um diese Risiken zu minimieren, sollten Unternehmen Null Vertrauen Prinzipien, indem der Zugriff basierend auf Rolle, Kontext und Gerätezustand beschränkt wird. Sicherheitsteams sollten OAuth-Token mit Ablaufrichtlinien konfigurieren, häufig rotieren und bei verdächtigen Aktivitäten automatisch widerrufen. Die Multi-Faktor-Authentifizierung (MFA) sollte für alle privilegierten Konten obligatorisch sein, und die adaptive Authentifizierung kann dazu beitragen, den Zugriff von ungewöhnlichen Standorten oder Geräten zu blockieren.
Verbessern Sie Ihre Bereitschaft zur Reaktion auf Vorfälle
Unternehmen sollten speziell für SaaS-Plattformen wie Salesforce, Slack und Google Workspace maßgeschneiderte Incident-Response-Playbooks entwickeln. Diese Playbooks sollten beschreiben, wie kompromittierte OAuth-Token identifiziert, der Angriff eingedämmt und betroffene Stakeholder benachrichtigt werden. Die Automatisierung von Teilen dieses Prozesses, wie z. B. der Benachrichtigung über Angriffe und des Token-Widerrufs, kann die Reaktionszeiten weiter verkürzen.
Minimieren Sie die Datenexposition
Grundsätze der Datenminimierung können die Auswirkungen eines Verstoßes erheblich reduzieren. Durch die Schwärzung oder Tokenisierung sensibler Felder, die Durchsetzung strenger Selbstbehalt Durch die Einhaltung von Richtlinien und das Entfernen veralteter oder doppelter Daten können Unternehmen den „Explosionsradius“ begrenzen, wenn eine Integration beeinträchtigt wird.
Bauen Sie eine Kultur des Bewusstseins auf
Mitarbeiter und Administratoren müssen geschult werden, um verdächtiges App-Verhalten, Phishing-Kampagnen zum Diebstahl von OAuth-Token und Anzeichen ungewöhnlicher Aktivitäten in SaaS-Umgebungen zu erkennen. Datenschutz-, IT-, Rechts- und Sicherheitsteams müssen zusammenarbeiten, um Richtlinien und Governance-Prozesse zu entwickeln, die den gesamten Lebenszyklus von Drittanbieter-Integrationen und Datenaustausch abdecken.
Wie BigID Lehren in die Tat umsetzt
Der SalesLoft-Drift-Datenleck verdeutlicht einen kritischen Wandel: Unkontrollierte KI- und Automatisierungstools können erhebliche Skalenrisiken bergen. Es reicht nicht mehr aus, davon auszugehen, dass Ihre Integrationen sicher sind oder dass der Token-Widerruf alles löst.
BigID bietet Privatsphäre, Sicherheit und KI-Governance Führungskräften eine Plattform, die nicht nur reagiert – sie prognostiziert, verhindert und stärkt, denn wahre Widerstandsfähigkeit beruht nicht nur auf Verteidigung, sondern auch auf dem Verständnis Ihres Datenökosystems, wo immer es fließt.
BigID hilft Unternehmen, diese Lücken zu schließen, indem es Informationen und Kontrollen bereitstellt, die die Sicherheitslage verändern:
- Entdecken und klassifizieren: BigID scannt Salesforce und andere Systeme, um sensible Daten zu identifizieren (PII, Geheimnisse, Passwörter, Anmeldeinformationen, API-Schlüssel, Support-Protokolle) über strukturierte und unstrukturierte Quellen hinweg.
- Integrationsrisiko überwachen: Entdecken und bewerten Sie Risiken in Drittanbieter-Apps, die mit der Salesforce-Umgebung und anderen SaaS-Systemen verbunden sind und Zugriff auf vertrauliche Daten haben.
- Identitätsbewusste Zugriffskontrolle: Setzen Sie eine identitätsbewusste Zugriffsüberwachung ein, um ungewöhnliche Anmeldungen, Massen-API-Abfragen oder Token-Nutzung zu erfassen und eine übermäßige Belastung Ihres Salesforce- und SaaS-Ökosystems zu vermeiden.
- Reduzieren Sie die Angriffsfläche: Verringern Sie das Risiko von Datenschutzverletzungen und KI-Sicherheit, indem Sie redundante, sensible oder regulierte Daten entfernen, um die Auswirkungen einer Datenschutzverletzung zu verringern.
- Beschleunigen Sie die Reaktion auf Vorfälle: Erstellen Sie transparente Berichte darüber, welche Daten wo offengelegt wurden und wer darauf zugegriffen hat, um gesetzlichen Bestimmungen und Meldepflichten gegenüber Kunden nachzukommen.
Bereit, etwas zu unternehmen? Seien Sie auf zukünftige Datenbedrohungen vorbereitet, indem Sie eine 1:1-Demo mit unseren Experten buchen.
Autor
