La scia di danni lasciata dall’attacco alla piattaforma di Salesforce attraverso l’integrazione compromessa di Salesloft Drift (il chatbot AI utilizzato da migliaia di realtà aziendali per la gestione dei lead su Salesforce) continua ad allargarsi e questa volta a confermare l’impatto sono alcune delle realtà più note nel panorama della cyber security globale.

Stellantis, Proofpoint, SpyCloud, Tanium e Tenable hanno ammesso pubblicamente che i threat actor sono riusciti ad accedere a informazioni custodite all’interno delle loro istanze Salesforce.

Il breach contro Salesloft Drift

C’è un elenco anche più lungo di aziende colpite (43 ad oggi monitorate da Ransomfeed) da questa campagna criminale, che va oltre le dichiarazioni ufficializzate dalle società: è quella delle rivendicazioni fatte direttamente dal gruppo malevolo, sul proprio data leak site.

La campagna, attribuita al gruppo UNC6395 e resa pubblica dal team di threat intelligence di Google lo scorso 26 agosto, ha sfruttato token OAuth compromessi per il chatbot AI Drift di Salesloft, portando all’esfiltrazione di volumi enormi di dati sensibili.

Inizialmente si pensava che l’attacco colpisse solo le organizzazioni che utilizzavano attivamente l’integrazione Drift, ma è ormai chiaro che il perimetro è molto più ampio e include semplici clienti Salesforce.

I dati trafugati spaziano da chiavi di accesso AWS e credenziali plain text fino a token di Snowflake, dipingendo un quadro allarmante di una campagna di exfiltration su larga scala che ha interessato oltre 700 organizzazioni.

Dopo le prime conferme da parte di Cloudflare, Palo Alto Networks e Zscaler, ora tocca ad altri big della security alzare la mano.

Proofpoint ha dichiarato che gli attacker hanno sfruttato l’integrazione Drift per accedere al proprio tenant Salesforce, visualizzando alcune delle informazioni ivi conservate.

Pur precisando che non vi è evidenza di compromissione di software, servizi, prodotti di sicurezza o dati customer, l’episodio solleva questioni non trascurabili sull’hygiene delle supply chain SaaS anche in ambito security.

SpyCloud, ex cliente di Salesloft Drift, ha confermato il breach di campi standard del CRM, precisando però che i dati consumer non sarebbero stati accessibili. L’azienda ha notificato la violazione ai propri clienti già la scorsa settimana.

Tanium ha fornito dettagli più tecnici: l’accesso non autorizzato ha interessato dati come nomi, indirizzi email, numeri di telefono e riferimenti geografici. La società ha tuttavia sottolineato che la violazione è rimasta confinata ai soli dati Salesforce, senza coinvolgere la piattaforma Tanium o altri sistemi interni.

Tenable ha riportato la compromissione di informazioni relative ai casi di supporto, incluse le descrizioni iniziali e i dettagli dei contatti business.

Anche in questo caso, non è emersa alcuna prova di un utilizzo malevolo dei dati rubati.

La risposta di Tenable ha incluso la rotazione delle credenziali, la rimozione dell’applicazione vulnerabile e un rafforzamento generale dei controlli di monitoring.

Questi incidenti a catena stanno mettendo in luce una verità scomoda: anche chi si occupa di sicurezza per professione non è immune da attacchi sofisticati che sfruttano le interdipendenze tra servizi cloud di terze parti.

L’integrazione tra Salesforce e Salesloft Drift, in particolare, si è rivelata un vettore di attacco formidabile, in grado di bypassare controlli di sicurezza perimetrali e accedere direttamente ai repository dati.

Cosa succede ora?

Nel frattempo, la macchia si sta allargando a tal punto da aver spinto alla nascita di strumenti di tracking del problema. Nudge Security infatti ha messo online un suo strumento per monitorare i breach che spuntano dal problema con Drift: driftbreach.com.

in questi giorni inoltre, i criminali hanno fatto scadere il countdown per la richiesta di riscatto a Salesforce e sta iniziando, lentamente, la divulgazione dei dati compromessi direttamente online.

Non c’è stata una pubblicazione massiva di tutto il bottino, ma si sta procedendo con una diffusione lenta, società per società. Al momento sono stati divulgati online i dati di Qantas, Vietnam Airlines, Albertsons Companies, GAP inc, Fujifilm, Engie Resources. Per Stellantis non ci sono ancora state pubblicazioni.

Inoltre proprio nell’ultima settimana, il gruppo criminale è stato preso di mira da un’azione di law enforcement che ha visto il proprio DLS in clearnet sequestrato dalle forze dell’ordine.

La vicenda ricorda da vicino altri recenti episodi di supply chain attack, dove un anello debole in un ecosistema integrato può minare la sicurezza di centinaia di organizzazioni contemporaneamente. Il fatto che a farne le spese siano proprio aziende che vendono soluzioni di sicurezza aggiunge un ulteriore livello di complessità al quadro.

Mentre i team IR delle aziende coinvolte sono ancora al lavoro per quantificare l’impatto reale e notificare i soggetti interessati, il caso Salesforce-Salesloft Drift si candida a diventare uno degli episodi più significativi del 2025 in termini di portata e implicazioni per il cloud security posture management.