最近,國際知名資安廠商 Zscaler 也被捲入了一起供應鏈攻擊事件。這起事件的源頭來自 Salesloft Drift —— 一款和 Salesforce 整合的行銷工具。駭客藉由竊取 OAuth 憑證,成功繞過安全檢查,進而存取多家 Salesforce 客戶的資料,其中就包含了 Zscaler。
發生了什麼事?
Zscaler 在公告中強調:
- 攻擊者透過 Drift 的憑證,取得對 Zscaler Salesforce 資料的有限存取權限。
- 受影響的資料包含 姓名、公司電子郵件、職稱、電話、地區資訊、產品授權,以及 部分技術支援案例內容。
- 值得注意的是,Zscaler 表示其 產品、服務與核心系統均未遭入侵或受影響。
目前 Zscaler 沒有發現駭客濫用資料的跡象,但仍已全面撤銷 Drift 存取權限、重置 API token,並與 Salesforce 聯合調查。
影響不只 Zscaler
Google 威脅情報團隊(GTIG)與 Mandiant 的調查發現,這次的 Salesloft Drift 憑證外洩範圍比預期更大。
- 不僅 Salesforce,用戶與 Drift 相關的其他整合也都可能受害。
- 8 月 9 日,駭客甚至利用被竊的 Drift 憑證,讀取了少量 Google Workspace 郵件。
- Google 已經通知受影響帳號,並緊急撤銷 Drift OAuth token。
背後的攻擊團隊 UNC6395,在 8 月 8 日到 18 日期間,系統性地從 Salesforce 客戶匯出大量資料,包括 AWS 金鑰、Snowflake token 等雲端敏感憑證。駭客甚至會刪除查詢紀錄,讓異常更難被發現。
Salesforce 與 Salesloft 的反應
- Salesloft 已經在 8 月 20 日撤銷所有 Drift–Salesforce 整合,並通知受影響的客戶。
- Salesforce 則強調,受影響的只是少數客戶,並已下架 Drift 應用並撤銷 token。
為什麼這件事值得關注?
這起事件再次提醒我們:
- 第三方整合的風險不可忽視 —— 企業即使本身防護做得再好,也可能因合作夥伴的漏洞而被波及。
- OAuth 憑證是一把「萬能鑰匙」 —— 一旦被竊,駭客可以完全跳過密碼驗證。
- 外洩的聯絡資訊可能成為釣魚武器 —— 攻擊者很可能會設計更逼真的釣魚郵件,引誘員工上鉤。
我們的建議
- 立即檢查 Drift 整合:若企業曾經使用 Drift,請確認是否仍連接到 Salesforce 或 Google Workspace,並撤銷或更新憑證。
- 最小化權限:確保 API 或 SaaS 整合僅能存取必要的功能。
- 加強監控與日誌檢查:留意是否有異常的 API 或 OAuth token 使用。
- 教育員工:提醒同仁警惕任何釣魚郵件或社交工程攻擊。
這起 Zscaler 事件不是單一個案,而是整個產業面臨的警訊:在 SaaS 時代,供應鏈整合既帶來便利,也放大了風險。企業若要真正提升資安韌性,就必須把第三方 SaaS 安全納入防禦策略之中。