OAuth, SaaS -Lieferkette und Sicherheitsrisiken: Navigieren im Minenfeld

Der Salesloft/Drift Break beleuchtet die wachsenden Sicherheitsrisiken in der SaaS -Lieferkette, insbesondere in Bezug auf OAuth -Integrationen. Erfahren Sie, wie Sie diese Bedrohungen mildern können.

The recent Salesloft/Drift breach, which came to light in August 2025, serves as a stark reminder of the lurking dangers within the SaaS ecosystem. Specifically, the exploitation of OAuth integrations has exposed a significant blind spot in SaaS security.

Der jüngste Vertretung von Salesloft/Drift, der im August 2025 ans Licht kam, erinnert eine starke Erinnerung an die lauernden Gefahren innerhalb des SaaS -Ökosystems. Insbesondere hat die Nutzung von OAuth -Integrationen einen bedeutenden blinden Fleck in der SaaS -Sicherheit aufgedeckt.

OAuth: A Double-Edged Sword

OAuth: Ein zweischneidiges Schwert

OAuth, intended to simplify identity and integration, has inadvertently become a major vulnerability. As Jaime Blasco, CTO of Nudge Security, points out, once attackers gain control of OAuth tokens, traditional security measures like multi-factor authentication (MFA) become useless. These tokens grant persistent trust, allowing attackers to move laterally across interconnected SaaS environments. The Drift breach allowed attackers to access Salesforce and Google Workspace environments across hundreds of organizations.

OAuth, die die Identität und Integration vereinfachen sollen, ist versehentlich zu einer wichtigen Anfälligkeit geworden. Als Jaime Blasco, CTO von Nudge Security,, wies Angreifer, sobald die Angreifer die Kontrolle über OAuth-Token erlangen, traditionelle Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung (MFA) nutzlos werden. Diese Token gewähren ein anhaltendes Vertrauen und ermöglichen es den Angreifern, sich seitlich über miteinander verbundene SaaS -Umgebungen zu bewegen. Die Driftverletzung ermöglichte es den Angreifern, in Hunderten von Organisationen auf Salesforce- und Google Workspace -Umgebungen zugreifen zu können.

The Anatomy of the Drift Breach

Die Anatomie der Driftverletzung

The attack, attributed to UNC6395 (aka GRUB1), began months before its discovery. The attackers initially targeted Drift's GitHub repositories, eventually gaining access to their AWS environment. From there, they stole OAuth tokens for various integrations, including Salesforce and Google Workspace. This access allowed them to sift through Salesforce support cases, seeking customer credentials, a tactic previously observed in breaches involving Okta and Cloudflare.

Der auf UNC6395 (auch bekannt als grub1) zugeschriebene Angriff begann Monate vor seiner Entdeckung. Die Angreifer zielten zunächst an Drifts Github -Repositorys und erlangten schließlich Zugang zu ihrer AWS -Umgebung. Von dort aus stahl sie OAuth -Token für verschiedene Integrationen, einschließlich Salesforce und Google Workspace. Dieser Zugang ermöglichte es ihnen, Salesforce -Support -Fälle zu durchsuchen und Kundenanmeldeinformationen zu suchen, eine Taktik, die zuvor bei Verstößen gegen Okta und CloudFlare beobachtet wurde.

Missed Detection Opportunities

Verpasste Erkennungsmöglichkeiten

A key takeaway from the incident is the importance of proactive security measures. Blasco emphasizes that vendors can implement detection mechanisms to identify and prevent token misuse. However, many companies fail to forward SaaS logs, restrict OAuth token lifespans, or enforce session timeouts, leaving their integrations exposed.

Ein wesentlicher Bestandteil des Vorfalls ist die Bedeutung proaktiver Sicherheitsmaßnahmen. Blasco betont, dass Anbieter Erkennungsmechanismen implementieren können, um einen Missbrauch von Token zu identifizieren und zu verhindern. Viele Unternehmen leiten jedoch keine SaaS -Protokolle weiter, beschränken die Lebensdauer von OAuth -Token oder setzen die Sitzungszeitüberschreitungen durch, wodurch ihre Integrationen freigelegt werden.

The SaaS Security Triad of Mistakes

Die SaaS -Sicherheits -Triade der Fehler

Blasco identifies three common errors that expose IT and security teams to risk:

Blasco identifiziert drei häufige Fehler, die es und Sicherheitsteams dem Risiko aussetzen:

1. Lack of visibility into SaaS applications
2. Inadequate monitoring of integrations
3. Failure to configure SaaS applications securely

These oversights create a fragmented SaaS landscape ripe for exploitation.

Diese Aufsicht erzeugen eine fragmentierte SaaS -Landschaftslandschaft für die Ausbeutung.

Shadow SaaS and the Rise of Shadow AI

Schatten Saas und der Aufstieg der Schatten -AI

The problem is compounded by the rise of shadow SaaS and shadow AI. Employees are increasingly adopting tools outside of IT's purview, often exposing sensitive data to unvetted startups. As AI agents become more sophisticated, they will rely on OAuth, API keys, and other protocols to access data, further expanding the attack surface.

Das Problem wird durch den Aufstieg von Shadow SaaS und Shadow AI verstärkt. Die Mitarbeiter nehmen zunehmend Tools außerhalb seines Zuständigkeitsbereichs an und setzen häufig sensible Daten an nicht gegensätzliche Startups aus. Wenn KI -Agenten anspruchsvoller werden, werden sie sich auf OAuth, API -Schlüssel und andere Protokolle verlassen, um auf Daten zuzugreifen, wodurch die Angriffsfläche weiter erweitert wird.

Practical Steps for Security Teams

Praktische Schritte für Sicherheitsteams

Despite the complexity, Blasco advises teams to focus on the fundamentals:

Trotz der Komplexität rät Blasco Teams, sich auf die Grundlagen zu konzentrieren:

• Inventory all applications.
• Enforce MFA.
• Configure integrations with timeouts and IP restrictions.

Salesforce's Response

Reaktion von Salesforce

Following the breach, Salesforce temporarily disabled all Salesloft integrations as a precautionary measure. Salesloft also took Drift temporarily offline to review the application and enhance its security.

Nach dem Verstoß hat Salesforce vorsorglich alle Salesloft -Integrationen vorsorglich deaktiviert. Salesloft hat Drift auch vorübergehend offline geworden, um die Anwendung zu überprüfen und ihre Sicherheit zu verbessern.

Fiji's Crypto Ban: A Different Kind of Security

Fidschis Krypto -Verbot: Eine andere Art von Sicherheit

While the SaaS breaches highlight one type of security risk, the island nation of Fiji is taking a different approach to security by renewing its ban on cryptocurrencies. Citing concerns about money laundering, terrorism funding, and a lack of regulatory resources, Fiji aims to protect its financial system and national security. This move, while controversial, reflects a growing awareness of the potential risks associated with digital assets.

Während die SaaS -Verstöße eine Art Sicherheitsrisiko hervorheben, verfolgt die Inselstation von Fidschi einen anderen Sicherheitsansatz, indem sie ihr Verbot der Kryptowährungen erneuert. Fidschi zitiert Bedenken hinsichtlich der Geldwäsche, der Terrorismusfinanzierung und einem Mangel an regulatorischen Ressourcen und zielt darauf ab, sein Finanzsystem und die nationale Sicherheit zu schützen. Dieser Schritt ist zwar kontrovers, spiegelt ein wachsendes Bewusstsein für die potenziellen Risiken wider, die mit digitalen Vermögenswerten verbunden sind.

Looking Ahead

Nach vorne schauen

The Salesloft/Drift breach is a wake-up call. The security of the SaaS supply chain requires constant vigilance, robust security practices, and a proactive approach to identifying and mitigating risks. Otherwise, OAuth will continue to be a weak spot. It is the gift that keeps on giving... to hackers, that is.

Der Salesloft/Drift Breach ist ein Weckruf. Die Sicherheit der SaaS -Lieferkette erfordert ständige Wachsamkeit, robuste Sicherheitspraktiken und einen proaktiven Ansatz, um Risiken zu identifizieren und zu mildern. Andernfalls ist OAuth weiterhin eine Schwachstelle. Es ist das Geschenk, das Hacker weiter gibt ... das heißt.