Drift-Chatbot-Hack gefährdet 700 Unternehmen

Schwere Sicherheitslücke bei Salesloft-Tochter kompromittiert Salesforce-Daten zahlreicher Konzerne. Ein ausgeklügelter Lieferkettenangriff auf den Drift-Chatbotdienst hat zu einem massiven Datenschutzvorfall geführt. Über 700 Organisationen – darunter Tech-Größen wie Cloudflare und Palo Alto Networks – sind betroffen.

Angriff über GitHub-Konto

Die Attacke begann laut Untersuchungen der Cybersicherheitsfirma Mandiant zwischen März und Juni 2025. Die Täter verschafften sich Zugang zu einem GitHub-Konto von Salesloft und drangen von dort in die Cloud-Umgebung von Drift vor. Dabei erbeuteten sie OAuth-Tokens – digitale Schlüssel, die Anwendungen wie Drift und Salesforce den sicheren Datenaustausch ohne Passwörter ermöglichen.

Zwischen dem 8. und 18. August nutzten die Angreifer diese gestohlenen Token, um sich bei den Salesforce-Konten von Drift-Kunden anzumelden. Sie erhielten damit dieselben Zugriffsrechte wie der legitime Dienst und konnten umfangreiche sensible Daten exportieren. Betroffen sind Kontaktdetails, Support-Fallinhalte und Account-Datensätze. Salesloft hat die Drift-Anwendung zwischenzeitlich offline genommen und startete eine umfassende Untersuchung.

Identitätsdiebstahl als Wachstumsmarkt

Der Vorfall spiegelt einen besorgniserregenden Trend wider: Identitätsbasierte Cyberangriffe haben 2025 um satte 160 Prozent zugenommen. Allein in den ersten sechs Monaten wurden 1,8 Milliarden Login-Daten gestohlen. Treiber dieser Entwicklung sind Information-Stealing-Malware und raffinierte Phishing-Kampagnen.

Das Kernproblem bleibt Passwort-Wiederverwendung. Eine Studie vom Mai 2025 zeigt: 94 Prozent der analysierten Passwörter aus früheren Leaks waren Duplikate. Nutzer verwenden dieselben Zugangsdaten für multiple Dienste – was Credential Stuffing enorm erleichtert. Automatisierte Bots testen gestohlene Kombinationen aus Benutzernamen und Passwörtern auf unzähligen Webseiten. Diese simple Methode erklärt den 800-prozentigen Anstieg identitätsbasierter Angriffe in diesem Jahr.

Anzeige: Übrigens: Wer sich im Alltag besser vor Identitätsdiebstahl schützen möchte, sollte beim Smartphone anfangen – oft das schwächste Glied. Viele Android-Nutzer übersehen 5 einfache, wirksame Schutzmaßnahmen gegen Datenklau und Schadsoftware. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie WhatsApp, Online-Banking, PayPal & Co. ohne teure Zusatz-Apps absichern. Jetzt das kostenlose Android-Sicherheitspaket sichern

SaaS-Sicherheit im Fokus

Der Drift-Hack demonstriert die systemischen Risiken moderner Cloud-Ökosysteme. Unternehmen setzen zunehmend auf komplexe Netzwerke aus Drittanbieter-SaaS-Lösungen – und schaffen damit zahlreiche potenzielle Schwachstellen. Der Diebstahl von OAuth-Tokens umgeht traditionelle Passwort-Schutzmechanismen wie die Zwei-Faktor-Authentifizierung (2FA).

Sicherheitsexperten sehen Parallelen zu Angriffen auf Snowflake-Datenbanken 2024 und einer Phishing-Kampagne gegen Salesforce-Integrationen Anfang 2025. Gemeinsam ist allen die Ausnutzung von Vertrauensbeziehungen zwischen Cloud-Diensten. Über 75 Prozent der Sicherheitsverantwortlichen zählen Account-Übernahmen mittlerweile zu den vier größten Cyber-Bedrohungen weltweit. Mit mindestens 16 Milliarden gestohlenen Zugangsdaten im Dark Web bieten sich Angreifern ideale Voraussetzungen für Massenexploitation.

Zero-Trust als notwendige Konsequenz

Als Reaktion auf den Vorfall erwarten Experten strengere Sicherheitsüberprüfungen für Lieferanten und die verstärkte Einführung von Zero-Trust-Modellen. Dieses Framework operiert nach dem Prinzip „Never trust, always verify“ und erfordert strikte Identitätsüberprüfungen für jede Zugriffsanfrage.

Für betroffene Unternehmen beginnt nun der mühsame Prozess der Schadensbegrenzung: Exponierte Daten müssen identifiziert, Kunden informiert und eigene Systeme abgesichert werden. Für Verbraucher und Mitarbeiter ist der Vorfall erneuter Weckruf: Passwort-Wiederverwendung across Dienste vermeiden und stärkstmögliche Multi-Faktor-Authentifizierung aktivieren.