Datenpanne bei Palo Alto Networks, Zscaler und Cloudflare

Palo Alto Networks, ZScaler und Cloudflare haben bekannt gegeben, dass sie von einem Cyberangriff über Salesloft Drift getroffen wurden. Hierbei handelt es sich um eine Drittanbieteranwendung, die Vertriebsabläufe automatisiert. Sie ist in Salesforce-Datenbanken integriert ist, um Leads und Kontaktinformationen zu verwalten.

Kontaktdaten bei Palo Alto abgeflossen

Im Statement von Palo Alto heißt es, dass dieser Angriff die Lieferketten von Hunderten von Unternehmen betroffen hat, darunter auch die eigenen. Der Vorfall beschränke sich auf ihre CRM-Plattform. Produkte oder Dienstleistungen des Anbieters sollen nicht in Mitleidenschaft gezogen worden sein.

„Bei den betroffenen Daten handelt es sich hauptsächlich um geschäftliche Kontaktinformationen, interne Verkaufskonten und grundlegende Falldaten im Zusammenhang mit unseren Kunden“, so das IT-Sicherheitsunternehmen.

In Sonderfällen größerer Schaden

Palo Alto meldet jedoch auch, dass einige Endnutzer stärker betroffen sind als andere. Der Grund hierfür soll sein, dass diese Firmen sich dazu entschlossen hatten, sensible Daten in unsicheren Notizfeldern innerhalb von Salesforce zu speichern. Bei den meisten dieser abgeflossenen Daten handelt es sich laut dem Unternehmen ebenfalls um geschäftliche Kontaktinformationen.

„Bei einer kleinen Anzahl von Kunden, die sensible Informationen wie Anmeldedaten in ihren aktuellen Case Notes angegeben hatten, könnten auch diese Daten kompromittiert worden sein“, erklärt ein Sprecher von Palo Alto auf Nachfrage in einer E-Mail an unsere US-Schwesterpublikation CSO.

Stärkere Kompromittierung möglich

Flavio Villanustre, SVP und CISO bei LexisNexis Risk Solutions, erläutert, dass die Angriffe im Fall von Zscaler und Palo Alto besonders problematisch sein können: Da beide Unternehmen Lösungen im SASE-Bereich verkaufen, kann ihre Kompromittierung Folgen für Dritte oder sogar Vierte haben.

Laut dem Experten gelte es zu bedenken, dass beide Unternehmen für den sicheren Zugriff ihrer Kunden in den Authentifizierungsprozess eingebunden sind. Allgemein hängen Vorfälle, welche Salesforce-Implementierungen betreffen, entweder mit kompromittierten Identitäten, gestohlenen Tokens und offenen Endpoints zusammen. Die Angriffe auf Zscaler und Palo Alto könnten ebenfalls in dieses Muster fallen.

Informationen aber keine Dateien gestohlen

Zscaler geht mit ihrem Statement in eine ähnliche Richtung und stellt klar, dass bei der Attacke OAuth-Token gestohlen wurden, die mit Salesloft Drift verbunden sind.

Das Unternehmen gibt an, welche Art von Informationen möglicherweise abgegriffen wurden:

• Namen,
• E-Mail-Adressen,
• Berufsbezeichnungen,
• Telefonnummern,
• regionale oder standortbezogene Details,
• Zscaler-Produktlizenzen und kommerzielle Informationen sowie
• Klartextinhalte aus bestimmten Supportfällen.

Anhänge, Dateien oder Bilder sollen nicht betroffen sein, wie Zscaler verkündet.

Erläuterungen und Maßnahmen von Palo Alto

Palo Altos Unit 42 beschreibt in einem Blogeintrag, wie der Angriff ablief und welche Maßnahmen das Unternehmen jetzt empfiehlt. In dem Text erklärt das IT-Sicherheitsunternehmen, dass der Angreifer sensible Daten, unter anderem Konto-, Kontakt-, Fall- und Opportunity-Datensätze, in großem Umfang gestohlen hat.

Nachdem er die Daten abgezapft hatte, schien der Angreifer sie aktiv nach Anmeldedaten zu durchsuchen, so Palo Alto. Die Experten vermuten, dass er dies tat, um weitere Angriffe zu erleichtern oder seinen Zugriff zu erweitern.

Das Unternehmen beobachtet zudem, „dass der Angreifer Abfragen gelöscht hat, um Beweise für die von ihm ausgeführten Aufgaben zu verbergen.“ Hier vermutet Palo Alto, dass es sich um eine Anti-Forensik-Technik handelt.

Das Unternehmen empfiehlt deshalb dringend, zum einen Anmeldedaten regelmäßig zu ändern. Zum anderen sollen „die Anweisungen, um Authentifizierungsaktivitäten für Drift Integrations zu validieren“ befolgt werden.

Salesforce gründlich unter die Lupe nehmen

Zusätzlich raten die Experten, die Salesforce-Anmeldehistorie, die Prüfpfade und die API-Zugriffsprotokolle für den Zeitraum vom 8. August 2025 bis heute gründlich zu untersuchen. Insbesondere die Salesforce-Ereignisüberwachungsprotokolle, sofern diese aktiviert sind, sollen auf ungewöhnliche Aktivitäten in Zusammenhang mit dem Drift Connection User überprüft werden.

 Das IT-Sicherheitsunternehmen rät ebenfalls die Authentifizierungsaktivitäten der Drift Connected App genauer zu betrachten. Besonderes Augenmerk sollte liegen auf

• verdächtigen Anmeldeversuchen,
• ungewöhnlichen Datenzugriffsmustern,
• Indikatoren, wie der Python/3.11 aiohttp/3.12.15 User-Agent-String und
• Aktivitäten von bekannten IP-Adressen von Bedrohungsakteuren.

Außerdem empfiehlt Palo Alto, UniqueQuery-Ereignisse, die protokollieren, welche Salesforce Object-Query-Language (SOQL)-Abfragen ausgeführt werden, zu untersuchen. So soll sich feststellen lassen, welche Salesforce-Objekte, wie Account, Contact, Opportunity und Case, sowie welche Felder innerhalb dieser Objekte der Angreifer abgefragt hat.

Cloudflare gesteht Teil-Schuld

Der Blogbeitrag von Cloudflare wiederum unterscheidet sich von den Beiträgen von Palo Alto und Zscaler, da der Anbieter eine gewisse Verantwortung für den Vorfall übernimmt. Zwar betont das Unternehmen, dass die Sicherheitsverletzung von einem Drittanbieter ausging, der Anbieter Dienste dieses Drittanbieters jedoch selbst zugelassen hatte.

„Wir sind für die Auswahl der Tools verantwortlich, die wir einsetzen, um unser Geschäft zu unterstützen“, erklärte Cloudflare und entschuldigte sich bei seinen Kunden.

Cloudflare schrieb auch, das Daten durchgesickert seien, die niemals hätten eingegeben werden dürfen. „Da die Support-Case-Daten von Salesforce den Inhalt von Support-Tickets mit Cloudflare enthalten, sollten alle Informationen, die ein Kunde möglicherweise mit Cloudflare in unserem Support-System geteilt hat – einschließlich Protokollen, Tokens oder Passwörtern – als kompromittiert betrachtet werden.“

Das Unternehmen empfiehlt deshalb, alle Anmeldedaten, die Kunden über diesen Kanal mit Cloudflare geteilt haben, dringend zu ändern.

Sorgfältig intern prüfen

Tipps, wie betroffene Unternehmen sich jetzt verhalten sollen, geben auch externe Experten:

Erik Avakian, technischer Berater bei der Info-Tech Research Group und ehemaliger CISO des US-Bundesstaates Pennsylvania, betont die Bedeutung von Zero-Trust-Prinzipien im Umgang mit Drittanbieter-Apps und OAuth-Tokens. Er rät dazu, ungenutzte Tokens regelmäßig zu widerrufen und zu aktualisieren sowie deren Ablauf wo möglich zu erzwingen. Drittanbieter mit API-Zugriff sowie SaaS sollten zudem wie externe Netzwerke behandelt werden, so der Experte.

Darüber hinaus empfiehlt er Verträge mit Dritten regelmäßig zu überprüfen, um sicherzustellen, dass sie angemessene Sicherheitsbestimmungen enthalten. Wichtig sind dabei Bereiche wie

• die Benachrichtigung bei Verstößen,
• das Recht auf Prüfung,
• die Datenverarbeitung und
• die Transparenz von Unterauftragsverarbeitern.

Letzteres soll Unternehmen dabei helfen, einen Überblick darüber zu haben,  welche Subunternehmer und Unterauftragsverarbeiter Teil der gesamten Anwendungslandschaft sind.

Aus API-Fehlern lernen

Für Will Townsend, Vizepräsident und Chefanalyst bei Moor Insights & Strategy, wirft der Angriff die Frage auf, wie es zu dieser Kompromittierung kommen konnte. Für ihn sind anscheinend die Integrationen auf API-Ebene verantwortlich. Diese sind angesichts der enormen Anzahl von Aufrufen schwer zu überwachen, wie er erläutert.

Mit Blick darauf, dass künftig Interaktion von Tausenden von Agenten innerhalb agentenbasierter KI-Frameworks zu erwarten sind, kann dieser Vorfall aber auch als wertvolle Lernerfahrung dienen. Identitäten und Zugriffe zu verwalten, wird in dieser Hinsicht noch schwieriger werden, so der Experte. Zugleich geht er davon aus, „dass die API-Sicherheit Schritt halten wird, um zukünftige Angriffe zu vereiteln.“

Alles schon dagewesen

Paddy Harrington, Senior Analyst bei Forrester, beschreibt den Vorfall nur als „einen weiteren OAuth-Token-Angriff“. Dieser zeige zwar die Gefahren auf, die mit der vernetzten Software-Lieferkette verbunden sind. Der Experte weist aber auch darauf hin, dass dies im Laufe der Jahre schon oft genug passiert ist. Seiner Meinung nach unterstreicht der Vorfall, „dass schon eine kleine Fehlkonfiguration ausreicht, um einen Angriff zu ermöglichen.“

Er betont, dass die schwierigste Arbeit für CISOs erst noch bevorsteht: Salesforce-Kunden müssten ihre Kundendaten durchkämmen, um festzustellen, wer betroffen ist, und welche Details möglicherweise nach außen gelangt sind.

Der Analyst vermutet zudem, dass Vertriebsmitarbeiter möglicherweise mehrere Verbindungstypen, wie sekundäre E-Mail-Adressen und Telefonnummern von Kontakten, gespeichert haben.

Das kann zu einer ganzen Reihe von Phishing-, Smishing-, und Vishing-Angriffen mithilfe dieser Geschäftskontakte führen, wie er betont. Hierbei geben sich die Angreifer dann als Mitarbeitende von Zscaler, Palo Alto oder einem anderen der Opfer dieses Datenlecks aus, so Harrington.

Effektiveres Phishing durch Social-Engineering

Der Analyst prognostiziert zudem, dass bevorstehende Phishing-Angriffe effektiver als üblich sein können. Seine Annahme begründet er damit, dass Social-Engineering-Angriffe an Schlagkraft gewinnen werden. Dies liege daran, dass die Angreifer nun nicht mehr zufällige Informationen über ihr Ziel haben, so Harrington.

„Sie werden über gültige Verkaufsinformationen aus den exportierten Daten verfügen“, wie der Experte erläutert. Dadurch wird es viel schwieriger sein, „einen Betrugsversuch von einem legitimen Anruf beziehungsweise einer legitimen Nachricht zu unterscheiden.“ (tf/jd)