事件摘要

2025年10月，Salesforce平台遭到攻击，攻击者利用Salesloft Drift的集成漏洞，导致多个知名企业的信息被泄露，包括Stellantis、Proofpoint、SpyCloud、Tanium和Tenable等。此次攻击由UNC6395组织实施，利用被盗的OAuth令牌进行数据外泄，影响超过700家组织。泄露的数据包括AWS访问密钥、明文凭证和Snowflake令牌等。尽管受影响企业表示未发现恶意使用数据的证据，但事件引发了对SaaS供应链安全的关注。攻击者已开始逐步公开泄露的数据，涉及Qantas、Vietnam Airlines等公司。此次事件突显了云服务间的相互依赖性对安全的影响，尤其是针对安全公司本身的攻击，可能会对整个行业产生深远影响。

事件概况

事件时间：2025-10	 
目标国家/地区：--
事件类型：供应链攻击事件 数据泄露事件
目标行业：科技、金融服务、汽车
事件影响：数据泄露 业务中断 
目标机构：SpyCloud、Tanium、Stellantis、Proofpoint、Tenable
情报来源：buaq.net
黑客组织：UNC6395

关键结论

事件背景

此次安全事件涉及Salesforce平台，通过Salesloft Drift的集成被攻击，影响了包括Stellantis、Proofpoint、SpyCloud、Tanium和Tenable在内的多家知名企业。攻击者成功访问了这些公司的Salesforce实例中的敏感信息，受影响的组织超过700家，数据泄露的范围广泛，包括AWS访问密钥、明文凭证和Snowflake令牌等。

攻击概要

攻击由UNC6395组织实施，利用Salesloft Drift的OAuth令牌漏洞进行数据外泄。攻击者通过该集成访问了多个企业的Salesforce租户，获取了客户关系管理（CRM）中的标准字段数据，包括姓名、电子邮件地址、电话号码和地理位置等。尽管各公司表示未发现软件或安全产品的直接妥协，但攻击的复杂性和对供应链安全的影响引发了广泛关注。

事件影响

此次事件的发生揭示了即使是专业安全公司也可能受到复杂攻击的威胁，尤其是当第三方云服务之间存在依赖关系时。数据泄露的影响不仅限于客户信息，还可能影响企业的声誉和客户信任，尤其是在安全领域内的公司。

应对措施

针对该事件，Tenable采取了更换凭证、移除易受攻击的应用程序和加强监控控制等措施。此外，Nudge Security推出了一个工具以跟踪与Drift相关的泄露问题，帮助企业监控潜在的安全风险。

攻击技战术

攻击手法（3）

威胁防范

处置建议（1）