Hoe een AI-agent hackers in staat stelde gebruikersdata te stelen

Tussen 8 en 18 augustus 2025 maakten cybercriminelen misbruik van gestolen digitale sleutels, zogenaamde OAuth-gegevens, om toegang te krijgen tot Salesforce-omgevingen van verschillende bedrijven, waaronder Google, Cloudflare, Zscaler en Palo Alto Networks.

Vervolgens haalden ze in rap tempo grote hoeveelheden data binnen, waaronder klantgegevens, contactpersonen, dossiers en verkoopkansen. Om hun sporen uit te wissen, verwijderden de aanvallers hun zoekopdrachten in de systemen.

Volgens Cloudflare voerde de groep GRUB1 de aanvallen uit, die volgens Google overlap vertoont met de bekende hackersgroep ShinyHunters. Het doel lijkt duidelijk: het verzamelen van zoveel mogelijk klantgegevens en inloggegevens om toekomstige gerichte aanvallen uit te voeren. Cloudflare waarschuwt dan ook dat dit geen eenmalig incident is en dat organisaties alert moeten blijven op verdachte activiteiten.

Kwaad al geschied

Nadat de aanvallen ontdekt werden, heeft Salesloft onmiddellijk actie ondernomen. Alle toegangstokens voor de Drift-applicatie zijn ingetrokken, waardoor getroffen beheerders opnieuw moesten inloggen. Ook zijn de betrokken klanten direct geïnformeerd. Toch is het kwaad bij veel organisaties al geschied.

Het lijkt er dan ook op dat de problemen na de hack nog langere tijd zullen voortduren. De gestolen data bevat onder andere inloggegevens waarmee verdere aanvallen uitgevoerd kunnen worden.

Kijk verder terug

Bedrijven die gebruikmaken van de Salesloft-Drift integratie wordt geadviseerd direct hun logbestanden na te lopen op verdachte activiteiten. Het is daarbij verstandig om verder te gaan dan de aanvalsdata die bekend zijn, aangezien Cloudflare aangeeft dat het al weken voor de daadwerkelijke aanval verdachte handelingen kon identificeren.

Daarnaast wordt er ook geadviseerd om alle mogelijk gelekte wachtwoorden en sleutels te veranderen om verdere schade te voorkomen. Unit 42, onderdeel van Palo Alto Networks, raadt ook aan een Zero Trust-beleid aan te houden. Opmerkelijk, aangezien ook dit bedrijf slachtoffer is geweest van de Salesdrift-hack. 

Het securityteam van Cloudflare belooft binnenkort een diepgaande analyse te publiceren over de werkwijze van GRUB1, zodat andere organisaties zich beter kunnen wapenen tegen vergelijkbare aanvallen. De openheid en technische details van Cloudflare worden gewaardeerd, maar het incident onderstreept vooral hoe kwetsbaar systemen kunnen zijn als derde partijen toegang hebben tot gevoelige data.