Google 最新通报显示，Salesloft Drift 平台遭遇的入侵事件比最初披露的范围更大。攻击者除了窃取 Salesforce 实例中的数据外，还利用被盗的 OAuth 令牌访问了少量 Google Workspace 邮箱账户。

Google 表示：“根据 GTIG（Google 威胁情报组）掌握的新信息，此次入侵的范围不仅局限于 Salesloft Drift 与 Salesforce 的集成，还影响到其他集成场景。我们建议所有 Salesloft Drift 用户，将存储在该平台或与之连接的所有认证令牌都视为可能已被攻破。”

这起攻击活动由 Google 威胁情报（Mandiant）跟踪，编号为 UNC6395。事件最初于 8 月 26 日曝光，当时攻击者窃取了 Salesloft Drift AI 聊天集成的 OAuth 令牌，并借此访问了客户的 Salesforce 实例，在其中针对 Cases、Accounts、Users、Opportunities 等对象执行查询。

通过这些查询，攻击者得以扫描客户支持工单和消息，从中寻找敏感信息，例如 AWS 访问密钥、Snowflake 令牌以及密码等。这些信息可能被用于进一步攻破云端账户，为未来的勒索或数据窃取铺路。

在最新更新中，Google 确认此次入侵事件影响范围超出最初认知，不仅限于 Salesforce 集成。调查显示，“Drift Email” 集成所使用的 OAuth 令牌同样遭到泄露。攻击者在 8 月 9 日利用这些令牌，访问了极少量与 Drift 直接集成的 Google Workspace 邮箱账户。

Google 强调，除受影响的账户外，相关域名中的其他账户均未受到波及，Google Workspace 及 Alphabet 自身并未遭到入侵。

目前，被盗令牌已全部吊销，相关客户也已收到通知。Google 同时暂停了 Salesloft Drift Email 与 Google Workspace 的集成，以便进一步调查。

Google 现敦促所有使用 Drift 的组织采取以下措施：

1.将存储在 Drift 平台上的所有认证令牌视为已泄露；

2.立即吊销并轮换相关应用的凭证；

3.检查所有连接系统是否存在未授权访问痕迹；

4.审查所有与 Drift 相关的第三方集成；

5.搜索可能暴露的密钥，并及时重置。

Salesloft 在 8 月 28 日也更新了公告，称 Salesforce 已暂停与 Drift、Slack、Pardot 的相关集成，直至调查结束。

目前，Salesloft 已聘请 Mandiant 和 Coalition 协助调查此次事件。