OAUTH, SAAS 공급망 및 보안 위험 : 지뢰밭 탐색

Salesloft/Drift Breach는 특히 OAUTH 통합과 관련하여 SAAS 공급망 내에서 보안 위험이 증가 함을 강조합니다. 이러한 위협을 완화하는 방법을 배우십시오.

The recent Salesloft/Drift breach, which came to light in August 2025, serves as a stark reminder of the lurking dangers within the SaaS ecosystem. Specifically, the exploitation of OAuth integrations has exposed a significant blind spot in SaaS security.

2025 년 8 월에 밝혀진 최근 Salesloft/Drift Breach는 SaaS 생태계 내에 숨어있는 위험을 완전히 상기시켜줍니다. 구체적으로, OAUTH 통합의 착취는 SaaS 보안에서 상당한 사각 지대를 노출시켰다.

OAuth: A Double-Edged Sword

Oauth : 양날의 검

OAuth, intended to simplify identity and integration, has inadvertently become a major vulnerability. As Jaime Blasco, CTO of Nudge Security, points out, once attackers gain control of OAuth tokens, traditional security measures like multi-factor authentication (MFA) become useless. These tokens grant persistent trust, allowing attackers to move laterally across interconnected SaaS environments. The Drift breach allowed attackers to access Salesforce and Google Workspace environments across hundreds of organizations.

정체성과 통합을 단순화하기 위해 OAUTH는 우연히 주요 취약성이되었습니다. Nudge 보안의 CTO 인 Jaime Blasco가 지적한 바와 같이, 공격자가 OAUTH 토큰을 제어하면 MFA (Multi-Factor Authentication)와 같은 전통적인 보안 조치는 쓸모 없게됩니다. 이 토큰은 지속적인 신뢰를 부여하여 공격자가 상호 연결된 SaaS 환경을 가로 질러 측면으로 이동할 수있게합니다. 드리프트 위반으로 공격자는 수백 개의 조직에서 Salesforce 및 Google Workspace 환경에 액세스 할 수있었습니다.

The Anatomy of the Drift Breach

드리프트 위반의 해부학

The attack, attributed to UNC6395 (aka GRUB1), began months before its discovery. The attackers initially targeted Drift's GitHub repositories, eventually gaining access to their AWS environment. From there, they stole OAuth tokens for various integrations, including Salesforce and Google Workspace. This access allowed them to sift through Salesforce support cases, seeking customer credentials, a tactic previously observed in breaches involving Okta and Cloudflare.

UNC6395 (일명 Grub1)에 기인 한이 공격은 발견되기 몇 달 전에 시작되었습니다. 공격자들은 처음에 Drift의 Github 리포지토리를 목표로하여 결국 AWS 환경에 접근 할 수있었습니다. 거기서부터 그들은 Salesforce 및 Google Workspace를 포함한 다양한 통합을 위해 Oauth 토큰을 훔쳤습니다. 이 액세스를 통해 Salesforce 지원 사례를 통해 선별 할 수 있었으며, Okta 및 CloudFlare와 관련된 위반에서 이전에 관찰 된 전술 인 고객 자격 증명을 찾을 수있었습니다.

Missed Detection Opportunities

누락 된 탐지 기회

A key takeaway from the incident is the importance of proactive security measures. Blasco emphasizes that vendors can implement detection mechanisms to identify and prevent token misuse. However, many companies fail to forward SaaS logs, restrict OAuth token lifespans, or enforce session timeouts, leaving their integrations exposed.

이 사건의 핵심은 사전 보안 조치의 중요성입니다. Blasco는 공급 업체가 토큰 오용을 식별하고 방지하기 위해 탐지 메커니즘을 구현할 수 있다고 강조합니다. 그러나 많은 회사들이 SaaS 로그를 전달하거나 OAUTH 토큰 수명을 제한하거나 세션 타임 아웃을 시행하지 못하고 통합을 노출시킵니다.

The SaaS Security Triad of Mistakes

실수의 SaaS 보안 트라이어드

Blasco identifies three common errors that expose IT and security teams to risk:

Blasco는 IT와 보안 팀이 위험에 노출되는 세 가지 일반적인 오류를 식별합니다.

1. Lack of visibility into SaaS applications
2. Inadequate monitoring of integrations
3. Failure to configure SaaS applications securely

These oversights create a fragmented SaaS landscape ripe for exploitation.

이러한 감독은 악용을위한 조각난 SaaS 풍경을 만듭니다.

Shadow SaaS and the Rise of Shadow AI

그림자 SaaS와 그림자 AI의 상승

The problem is compounded by the rise of shadow SaaS and shadow AI. Employees are increasingly adopting tools outside of IT's purview, often exposing sensitive data to unvetted startups. As AI agents become more sophisticated, they will rely on OAuth, API keys, and other protocols to access data, further expanding the attack surface.

Shadow SaaS와 Shadow AI의 부상으로 인해 문제가 발생합니다. 직원들은 점점 더 많은 도구를 채택하고 있으며, 종종 민감한 데이터를 구사되지 않은 스타트 업에 노출시킵니다. AI 에이전트가 더욱 정교 해짐에 따라 OAUTH, API 키 및 기타 프로토콜에 의존하여 데이터에 액세스하여 공격 표면을 더 확장 할 것입니다.

Practical Steps for Security Teams

보안 팀을위한 실용적인 단계

Despite the complexity, Blasco advises teams to focus on the fundamentals:

복잡성에도 불구하고 Blasco는 팀에게 기초에 집중하도록 조언합니다.

• Inventory all applications.
• Enforce MFA.
• Configure integrations with timeouts and IP restrictions.

Salesforce's Response

Salesforce의 응답

Following the breach, Salesforce temporarily disabled all Salesloft integrations as a precautionary measure. Salesloft also took Drift temporarily offline to review the application and enhance its security.

위반 후 Salesforce는 일시적으로 모든 Salesloft 통합을 예방 조치로 비활성화했습니다. Salesloft는 또한 응용 프로그램을 검토하고 보안을 향상시키기 위해 일시적으로 오프라인으로 드리프트를 사용했습니다.

Fiji's Crypto Ban: A Different Kind of Security

피지의 암호 금지 : 다른 종류의 보안

While the SaaS breaches highlight one type of security risk, the island nation of Fiji is taking a different approach to security by renewing its ban on cryptocurrencies. Citing concerns about money laundering, terrorism funding, and a lack of regulatory resources, Fiji aims to protect its financial system and national security. This move, while controversial, reflects a growing awareness of the potential risks associated with digital assets.

SaaS 위반은 한 유형의 보안 위험을 강조하지만 Fiji 섬 국가는 암호 화폐에 대한 금지를 갱신함으로써 보안에 대해 다른 접근 방식을 취하고 있습니다. Fiji는 자금 세탁, 테러 자금 조달 및 규제 자원 부족에 대한 우려를 인용하여 금융 시스템과 국가 안보를 보호하는 것을 목표로합니다. 이러한 움직임은 논란의 여지가 있지만 디지털 자산과 관련된 잠재적 위험에 대한 인식이 커지는 것을 반영합니다.

Looking Ahead

앞으로 찾고 있습니다

The Salesloft/Drift breach is a wake-up call. The security of the SaaS supply chain requires constant vigilance, robust security practices, and a proactive approach to identifying and mitigating risks. Otherwise, OAuth will continue to be a weak spot. It is the gift that keeps on giving... to hackers, that is.

Salesloft/Drift Breach는 모닝콜입니다. SaaS 공급망의 보안에는 지속적인 경계, 강력한 보안 관행 및 위험을 식별하고 완화하는 데 적극적으로 접근해야합니다. 그렇지 않으면 Oauth는 계속 약점이 될 것입니다. 해커들에게 계속주는 선물입니다.