HackerOne 已确认其是近期数据泄露事件受影响的公司之一，此次事件导致其 Salesforce 实例遭到未经授权的访问。此次访问是通过入侵 Salesloft 旗下的第三方应用程序 Drift 获得的。

该漏洞赏金平台宣布了这起安全事件，这与该公司“默认披露”的价值观相符。据该公司称，其安全团队于2025年8月22日星期五首次收到Salesforce可能存在安全漏洞的通知。

第二天，Salesloft 证实了这一点，促使 HackerOne 立即启动了其事件响应协议。

该公司正与 Salesforce 和Salesloft合作，全面调查此次数据泄露事件的范围和影响。此次事件是一场影响数百家公司的大规模攻击活动的一部分。

HackerOne 确认数据泄露

正如谷歌 Mandiant 的一份报告所详述的那样，威胁行为者利用 Drift 营销和销售应用程序中的漏洞，将 Salesforce 客户记录作为目标。

通过破坏 Drift，攻击者能够转向并获得对所连接的 Salesforce 环境的未经授权的访问，从而窃取敏感的客户和销售数据。

HackerOne 的确认使其跻身于越来越多响应此次供应链攻击的公司之列。尽管调查仍在进行中，但 HackerOne 表示，未经授权的第三方访问了其 Salesforce 实例中的部分记录。

不过，该公司表示有信心，在此次事件中没有客户漏洞数据受到影响或泄露。

HackerOne 正在继续对访问的特定记录进行取证分析，以确定所暴露信息的确切性质。

该公司承诺将与任何被认定受到此次违规影响的客户直接沟通。

这一事件凸显了第三方应用程序集成带来的重大风险以及供应链攻击绕过组织直接安全防御的可能性。