AI聊天机器人被攻破，网安三巨头全中招！飞天诚信：全供应链普及MFA确有必要

　　我们之前在《供应链的风（险）还是吹到了网络安全：Zscaler因Salesforce发生数据泄露飞天诚信：全栈自研降风险》中提到的Salesforce数据泄露事件，现在有了新进展。

　　Salesloft发布Drift/Salesforce安全更新显示："8月8日至18日期间，威胁行为主体使用OAuth凭证从客户Salesforce实例中外泄数据。初步调查显示攻击者主要目标是窃取凭证，特别是AWS访问密钥、密码（口令）和Snowflake相关访问令牌等敏感信息。"

　　Salesloft 是 Salesforce 生态圈中最受欢迎的销售参与平台（Sales Engagement Platform）之一，Salesloft支持与Salesforce双向实时同步，可在 Salesforce 界面直接调用 Salesloft提供的邮件模板、拨号器等工具，与之相关的线索、联系人、活动、商机阶段变动情况等数据能够自动更新到Salesforce。通过收购Drift平台，Salesloft还集成了 AI 聊天机器人。Drift 提供实时对话式营销和潜在客户筛选工具，可以嵌入网站，与访客互动、识别意向、安排会议，并将数据同步到Salesforce中。

　　据 Salesloft 称，攻击者获得了用于 Drift与Salesforce 集成的 OAuth范文令牌和刷新令牌，并在 2025 年 8 月 8 日至 8 月 18 日期间使用它们开展了 Salesforce 数据盗窃活动。

　　今年9月，Palo Alto Networks、Cloudflare和Zscaler先后确认，它们是此次事件的受害者。

　　Palo Alto Networks表示：“Palo Alto Networks确认自己是此次受影响的数百家客户之一。这是一场针对Salesloft Drift应用的大规模供应链攻击，导致Salesforce数据泄露。我们已迅速控制事件，并在我们的Salesforce环境中禁用了该应用。”Cloudflare指出：“作为事件应对的一部分，我们对被窃取的数据进行了自查，重点排查令牌和密码，并发现了104个Cloudflare API令牌。虽然未发现这些令牌存在可疑使用行为，但出于高度谨慎，我们已全部轮换。”Zscaler则表示，从其Salesforce实例中被盗的客户数据包括姓名、商务邮箱地址、电话号码、职位、位置信息、授权信息，以及部分支持案例中的明文内容。Cloudflare总结称：“我们认为此次事件并非孤立，而是威胁行为者有计划地收集凭证和客户信息，以便在未来发动攻击。鉴于有数百家组织因Drift遭攻陷而受影响，我们怀疑该威胁行为者将利用这些信息，对受影响组织的客户展开定向攻击。”。

　　Palo Alto Networks是当前全球市值最高的专业网络安公司；Cloudflare在今年9月成功缓解了史上最大规模的DDoS攻击（峰值达 22.2 Tbps）；Zscaler是目前全球部署规模最大的零信任云平台之一。除了上述“网安三巨头”之外，受害者还包括Tenable、Proofpoint、Qualys、Rubrik等明星科技公司。由于本次事件影响范围巨大，FBI已就此发布了专门的安全警示。

　　本次事件是典型的供应链攻击，其攻击手法的巧妙和危害的深远程度，为所有使用云服务的企业敲响了警钟。攻击者并未直接攻击防守严密的Salesforce平台，而是“绕道而行”，选择了其生态系统中安全相对薄弱的第三方应用（Salesloft）作为突破口。有消息称，攻击的起点是2025年3月，攻击者入侵了Salesloft的私有GitHub存储库，通过扫描源代码，发现了一个用于Salesloft Drift的硬编码（“写死”在代码中）OAuth令牌。

　　经过与 Salesforce 协调，Salesloft 撤销了 Drift 的所有访问令牌和刷新令牌，要求客户使用他们的 Salesforce 实例重新进行身份认证。重新进行身份认证需要断开与Salesforce的连接，然后使用有效的 Salesforce 凭据重新连接。

　　为应对此类攻击，Salesforce官方建议客户遵循安全最佳实践，包括启用多因素身份认证（#MFA）、强制执行最小权限原则以及仔细管理连接的应用程序。

　　MFA已成为网络空间安全的重要基石。这种身份认证方法为攻击者设置了巨大的障碍，因为同时破坏多个身份认证因素被认为是非常困难的。在MFA的加持下，即使密码（口令）被盗，攻击者也无法轻易登录系统。然而，MFA也面临着网络钓鱼、中间人攻击等网络威胁。

　　美国CISA（Cybersecurity and Infrastructure Security Agency，网络安全与基础设施安全局）提出了“防钓鱼MFA”（Phishing-Resistant MFA）的概念，将能够抵御网络钓鱼攻击的若干MFA称为“防钓鱼MFA”。FIDO是CISA认定的防钓鱼MFA之一。飞天诚信推出了一系列#FIDO Security Key产品，用户可以通过USB-A、USB-C接口、NFC或BLE接口将FIDO产品连接到电脑或手机，快速、安全地完成账号登录或单点登录。飞天诚信FIDO Security Key现已支持Google、AWS等众多在线服务。

　　

　　数字化程度越深，供应链越像“连环船”——一艘起火，全军覆没。今天给每一次登加上一把“防钓鱼MFA”之锁，明天才能在危机四伏的网络深海里睡得着、走得远、赢得漂亮。安全不是成本，而是船票；没有它，再豪华的舰队也终将沉没。