Salesloft-Hack: Hunderte Unternehmen durch Supply-Chain-Attacke betroffen

Eine raffinierte Lieferketten-Attacke hat Hunderte von Organisationen getroffen, darunter namhafte Technologiekonzerne. Der Angriff begann mit der Kompromittierung eines GitHub-Kontos der Sales-Plattform Salesloft und führte letztendlich zum Diebstahl von Salesforce-Daten zahlreicher Kunden.

Die Investigation von Googles Mandiant-Team zeigt: Die Attacke erstreckte sich über mehrere Monate zwischen März und Juni 2025. Was als simpler Code-Diebstahl begann, entwickelte sich zu einem der weitreichendsten Supply-Chain-Angriffe des Jahres.

Vom GitHub-Hack zur Daten-Goldgrube

Der Ausgangspunkt war ein kompromittiertes GitHub-Konto von Salesloft. Die Angreifer, von Google als UNC6395 klassifiziert, verschafften sich zwischen März und Juni 2025 Zugang zu den Quellcode-Repositories des Unternehmens. Monatelang studierten sie die Infrastruktur, luden Inhalte herunter und etablierten Workflows für dauerhaften Zugriff.

Der entscheidende Wendepunkt kam mit dem Sprung zu Drift – einer KI-Chatbot-Firma, die zu Salesloft gehört. Hier erbeuteten die Hacker OAuth-Token aus der Amazon Web Services-Umgebung. Diese Schlüssel erlaubten direkten Zugang zu den Salesforce-Instanzen aller Drift-Kunden.

Zwischen dem 8. und 18. August 2025 zapften die Cyberkriminellen systematisch Daten ab – ein digitaler Raubzug mit verheerenden Folgen.

Tech-Giganten im Visier der Hacker

Über 700 Organisationen könnten betroffen sein, schätzt Google. Bereits bestätigt haben den Datendiebstahl prominente Namen wie Cloudflare, Palo Alto Networks, Zscaler, Qualys und PagerDuty.

Die gestohlenen Informationen umfassen Kundenkontakte, E-Mail-Adressen, Telefonnummern sowie Inhalte von Support-Fällen und Verkaufsgesprächen. In schwerwiegenden Fällen erbeuteten die Angreifer sogar AWS-Zugangsdaten und Snowflake-Token – ein Alptraum für jeden IT-Sicherheitsexperten.

Notbremse gezogen: Salesforce kappt Verbindungen

Nach Entdeckung des Angriffs reagierten beide Unternehmen schnell. Salesforce deaktivierte vorübergehend alle Salesloft-Integrationen, während Salesloft die komplette Drift-Plattform am 5. September offline nahm.

Die Salesforce-Hauptintegration läuft seit dem 8. September wieder – nach gründlicher Sicherheitsprüfung. Die Drift-Anwendung bleibt jedoch bis auf Weiteres gesperrt.

Schwachstelle Supply Chain: Ein systemisches Problem

Rom Carmel, CEO des Cloud-Sicherheitsunternehmens Apono, bringt es auf den Punkt: Der Angriff offenbart einen "erheblichen systemischen blinden Fleck" im Umgang mit API-Token und anderen nicht-menschlichen Identitäten.

Die Attacke zeigt die Achillesferse moderner SaaS-Ökosysteme auf. Ein einzelner kompromittierter Anbieter kann Hunderte nachgelagerter Unternehmen gefährden. Die Angreifer – möglicherweise die berüchtigte ShinyHunters-Gruppe – demonstrierten dabei bemerkenswerte Geduld und Raffinesse.

Was Unternehmen jetzt tun müssen

Salesloft empfiehlt allen Kunden, die Drift-API-Schlüssel verwendeten, diese umgehend zu widerrufen. Sicherheitsexperten raten zu sofortigen Audits aller Salesforce-Verbindungen: Ungenutzte Integrationen entfernen, Berechtigungen verschärfen.

Die wochenlange Abschaltung der Drift-Plattform dient als sichtbare Mahnung: Supply-Chain-Angriffe bleiben eine klare und gegenwärtige Gefahr für das gesamte SaaS-Ökosystem. Unternehmen müssen ihre Sicherheitsstrategie entsprechend anpassen.