La recente violazione di sicurezza che ha colpito Salesloft, azienda produttrice di chatbot AI utilizzati da migliaia di realtà aziendali per la gestione dei lead su Salesforce, ha avuto ripercussioni rilevanti su tutto l’ecosistema della sicurezza informatica. Il furto massivo di token di autenticazione ha messo in allarme numerose aziende, costringendole a invalidare rapidamente le credenziali sottratte prima che potessero essere sfruttate da attori malevoli. Tuttavia, secondo Google, le conseguenze vanno ben oltre l’accesso ai dati di Salesforce, poiché i token rubati consentivano l’accesso a centinaia di servizi online integrati con Salesloft, come Slack, Google Workspace, Amazon S3, Microsoft Azure e OpenAI.

Il problema è stato inizialmente individuato nella componente Drift, cuore del chatbot AI di Salesloft. L’allerta pubblicata da Salesloft ha invitato subito i clienti a ristabilire la connessione tra Drift e Salesforce, ma non ha rivelato immediatamente che i token erano già stati sottratti. Successivamente, la Google Threat Intelligence Group ha chiarito che il gruppo di hacker UNC6395 aveva utilizzato i token rubati per esfiltrare grandi quantità di dati da numerose istanze Salesforce aziendali, a partire dall’8 agosto 2025. Tra i dati trafugati figurano anche credenziali sensibili come chiavi AWS, accessi VPN e credenziali per provider cloud come Snowflake.

La catena di attacco sfrutta la cosiddetta authorization sprawl, ovvero la dispersione incontrollata delle autorizzazioni d’accesso tra ambienti cloud e on-premises, rendendo difficile rilevare movimenti laterali da parte degli attaccanti. Gli hacker non utilizzano malware personalizzati, ma si muovono sfruttando i permessi già concessi agli utenti, spesso senza destare sospetti.

L’incidente si inserisce in un contesto più ampio di campagne di social engineering, come il voice phishing, finalizzate a collegare app dannose ai portali Salesforce delle aziende. Queste tecniche hanno già portato a violazioni dei dati e ricatti nei confronti di aziende come Adidas, Allianz Life e Qantas. I gruppi criminali coinvolti, tra cui ShinyHunters, Scattered Spider e LAPSUS$, sono noti per la loro abilità nell’infiltrarsi nei sistemi tramite social engineering e per la pubblicazione di database rubati in forum di cybercrime.

Attualmente, non esistono prove definitive che colleghino la violazione di Salesloft a un singolo gruppo, nonostante le rivendicazioni online. Nel frattempo, Salesforce ha bloccato l’integrazione con Drift, mentre Salesloft ha incaricato la divisione incident response di Mandiant di investigare sulle cause profonde dell’attacco.