Salesloft 周二宣布，“在不久的将来”将 Drift 暂时下线，因为多家公司已陷入针对营销软件即服务产品的深远供应链攻击热潮中，导致身份验证令牌被大规模盗窃。

该公司表示：“这将提供全面审查应用程序并在系统中建立额外的弹性和安全性以使应用程序恢复完整功能的最快途径。“因此，客户网站上的 Drift 聊天机器人将不可用，并且无法访问 Drift。”

该公司表示，其首要任务是确保其系统和客户数据的完整性和安全性，并且正在与网络安全合作伙伴 Mandiant 和 Coalition 合作，作为其事件响应工作的一部分。

这一进展是在谷歌威胁情报组织 （GTIG） 和 Mandiant 披露了据称是一场广泛的数据盗窃活动之后发生的，该活动利用与 Drift 人工智能 （AI） 聊天代理相关的被盗 OAuth 和刷新令牌来破坏客户的 Salesforce 实例。

该公司上周表示：“早在 2025 年 8 月 8 日开始，至少到 2025 年 8 月 18 日，该行为者通过与 Salesloft Drift 第三方应用程序相关的受损 OAuth 令牌瞄准了 Salesforce 客户实例。

该活动归因于一个名为 UNC6395（又名 GRUB1）的威胁集群，谷歌告诉 The Hacker News，700 多个组织可能受到潜在影响。

虽然最初声称暴露仅限于 Salesloft 与 Salesforce 的集成，但后来发现任何与 Drift 集成的平台都可能受到损害。现阶段，威胁行为者究竟是如何获得对 Salesloft Drift 的初步访问权限的，目前尚不清楚。

作为预防措施，该事件还促使 Salesforce 暂时禁用所有 Salesloft 与 Salesforce 的集成。一些已确认受到违规影响的企业如下：

• Cloudflare
• Google Workspace
• 寻呼机职责
• 帕洛阿尔托网络
• 证明点
• 间谍云
• 钛
• Zscaler

Cloudflare 表示：“我们认为这起事件不是一个孤立的事件，而是威胁行为者打算收集凭据和客户信息以备将来的攻击。

“鉴于数百个组织受到这次 Drift 泄露的影响，我们怀疑威胁行为者将利用这些信息对受影响组织的客户发起有针对性的攻击。”