A Salesforce revogou tokens de autenticação OAuth e refresh após um ataque que explorou a integração entre o aplicativo Salesloft e a plataforma de chat com IA Drift. A ação foi tomada para conter uma campanha de ciberespionagem identificada entre os dias 8 e 18 de agosto de 2025, atribuída ao grupo de ameaça UNC6395.
O ataque teve como alvo instâncias Salesforce de organizações que utilizavam a integração comprometida, permitindo o acesso indevido a dados sensíveis. Os invasores conseguiram extrair credenciais como chaves de acesso à AWS, senhas e tokens de plataformas como Snowflake. A entrada inicial ocorreu por meio de tokens válidos emitidos durante a conexão OAuth entre Salesloft e Drift, sem exploração direta da infraestrutura da Salesforce. O app Drift, disponível no AppExchange, foi removido da plataforma para evitar novos comprometimentos. A investigação revelou que os atacantes usaram ferramentas automatizadas para executar buscas em massa dentro das instâncias invadidas, incluindo a exclusão seletiva de registros de tarefas para dificultar a detecção sem eliminar completamente os logs de auditoria.
Estima-se que mais de 700 organizações possam ter sido afetadas, abrangendo diversos setores e regiões. A campanha chamou atenção pela combinação de automação e uso de APIs legítimas, dificultando a detecção em ambientes empresariais. A Salesforce e a Salesloft trabalharam em conjunto para notificar clientes impactados e recomendaram ações imediatas, como a rotação de credenciais, revogação de chaves de API e revalidação de integrações OAuth existentes.
