Quando basta una telefonata per colpire i giganti tech

700 aziende compromesse.
Google, Adidas, Cisco, LVMH tra le vittime.
E tutto è iniziato da… una telefonata.

Nell’agosto 2025 il mondo della cybersecurity è stato scosso da una delle più gravi violazioni della supply chain SaaS mai registrate: il Salesforce Breach 2025, noto come Salesloft Drift Campaign.

Gli hacker hanno sfruttato token OAuth rubati dall’integrazione Drift per ottenere accessi non autorizzati a Salesforce, innescando un attacco su scala globale.

Un’operazione che non ha sfruttato malware sofisticati, ma social engineering. Una voce dall’altra parte del telefono è bastata per aprire la porta.

In questo articolo analizziamo cos’è successo, le tecniche usate e cosa possiamo imparare per proteggere le aziende da incidenti simili.

Social engineering: il lato umano degli attacchi informatici

Spesso pensiamo che la sicurezza sia solo una questione di tecnologia, firewall o certificazioni ISO. Ma la verità è un’altra: il punto più vulnerabile resta l’essere umano.

Il vishing (voice phishing) sfrutta leve psicologiche come:

• Urgenza → “Devi agire subito o perdi l’accesso.”
• Autorità → “Sono dell’ufficio IT, è solo un controllo.”
• Fiducia → “Ti parlo come un collega, dammi solo un minuto.”

Nel caso Salesforce, i cybercriminali hanno convinto i dipendenti a concedere accessi critici. Una semplice telefonata è bastata per trasformare una vulnerabilità umana in un disastro globale.

Il lato tecnico: OAuth token e supply chain compromessa

Se l’elemento umano è stato la porta d’ingresso, il resto è stato puro attacco informatico.

Dopo il contatto telefonico, gli aggressori hanno sfruttato token OAuth – credenziali che permettono l’accesso senza inserire username e password – per muoversi liberamente negli ambienti Salesforce.

Con queste “chiavi universali” hanno potuto:

• Accedere a dati sensibili;
• Esfiltrare informazioni riservate;
• Propagare l’attacco lungo la supply chain colpendo centinaia di partner.

Come si è svolto l’attacco

L’operazione, attribuita in parte al gruppo ShinyHunters, ha combinato vishing e abuso del protocollo OAuth, trasformando una semplice telefonata in un’azione di esfiltrazione dati su scala globale.

Ripercorriamo insieme lo svolgimento dell’attacco: 

1. Contatto vishing iniziale

L’attacco è iniziato con una telefonata. Fingendosi supporto IT, a volte addirittura di essere Salesforce, gli autori delle minacce hanno contattato i dipendenti dell’azienda con il pretesto di dover risolvere un “ticket di supporto” o un altro problema urgente.

Con un tono autorevole, hanno creato urgenza (“c’è un problema sul tuo account, serve un controllo immediato”) e hanno convinto le vittime a collaborare. L’obiettivo era semplice: creare fiducia e preparare la vittima a seguire le istruzioni.

2. Consenso a un’app OAuth malevola

Una volta guadagnata fiducia, la vittima veniva guidata alla sezione Connected Apps di Salesforce. Qui inseriva un codice di “connessione” che in realtà autorizzava un’app fraudolenta – una versione manipolata del Salesforce Data Loader.

Inconsapevolmente, l’utente concedeva un token OAuth con privilegi elevati, aprendo agli aggressori l’accesso ai dati aziendali.

3. Esfiltrazione e movimento laterale

Con il token OAuth, gli aggressori hanno potuto:

• Scaricare dati sensibili dal CRM (anagrafiche clienti, ticket di supporto, pipeline di vendita);
• Mascherare le richieste come API legittime, rendendo l’attività invisibile ai sistemi di sicurezza;
• Raccogliere anche credenziali MFA e login di altri servizi SaaS (Okta, Office 365, Slack), muovendosi lateralmente verso mailbox, file storage e collaboration tool.

Questa fase ha trasformato un attacco localizzato in un vero supply chain attack con centinaia di vittime.

4. Estorsione e minaccia di data leak

Una volta in possesso dei dati, i criminali hanno contattato le aziende chiedendo riscatti in criptovaluta. In caso di rifiuto, hanno minacciato di pubblicare le informazioni sul dark web o su marketplace illegali.

Molte vittime hanno subito un doppio impatto: violazione dei dati e danno reputazionale.

5. Attacco alla supply chain OAuth (Salesloft Drift Campaign)

Parallelamente, gli aggressori hanno sfruttato l’integrazione Salesloft–Drift con Salesforce per acquisire token OAuth già compromessi. Questo ha permesso di scalare l’attacco a oltre 700 aziende, tra cui brand globali come Google, Adidas, Cisco e LVMH.

Perché assistiamo a così tante violazioni simili?

Il Salesforce Breach 2025 non è un caso isolato: rientra in una serie di attacchi che hanno colpito aziende come Chanel, Google, Air France e KLM, sfruttando lo stesso modello. Ma perché queste campagne sono così frequenti ed efficaci?

1. I fornitori terzi sono il nuovo punto d’ingresso

Gli aggressori sanno che i sistemi core delle grandi aziende (ERP, pagamenti, infrastruttura interna) sono ben difesi. Molto più vulnerabili sono invece i fornitori SaaS esterni e le piattaforme CRM.

Compromettendo un’unica integrazione (come Drift o Salesloft), i criminali possono accedere contemporaneamente ai dati di decine o centinaia di aziende. È la logica del supply chain attack: colpisci un nodo e si aprono molte porte.

2. L’ingegneria sociale e OAuth sono armi silenziose

Il mix di vishing e abuso di OAuth/Connected Apps è devastante.

• Il vishing funziona perché sfrutta il lato umano: fiducia, urgenza, autorità;
• OAuth rende l’attacco invisibile, perché gli accessi concessi appaiono come legittimi.

Questa combinazione permette di aggirare i controlli tradizionali basati su credenziali o endpoint, mantenendo accessi persistenti difficili da rilevare.

3. Permessi eccessivi amplificano l’esplosione

In molte aziende, le app connesse a Salesforce hanno privilegi troppo ampi: possono leggere grandi quantità di dati o accedere a moduli non strettamente necessari.

Quando un token OAuth di questo tipo viene compromesso, l’impatto è enorme: gli aggressori ottengono dati sensibili di clienti, pipeline commerciali e ticket di supporto in un’unica mossa.

Il problema è accentuato da una governance debole: spesso non esiste un inventario aggiornato delle app collegate né un monitoraggio attivo dei loro permessi.

4. I dati rubati alimentano nuovi attacchi

I record CRM hanno un valore enorme: possono essere rivenduti, usati per campagne di phishing mirato o sfruttati per nuovi cicli di vishing ancora più convincenti.

Questo crea un effetto moltiplicatore: ogni breach non solo danneggia le vittime dirette, ma genera opportunità per future campagne globali di social engineering e cyber estorsione.

Costruire resilienza: tecnologia, processi, persone

Il Salesforce Breach 2025 non è stato causato da una vulnerabilità tecnica sconosciuta, ma dall’abuso di meccanismi legittimi (OAuth) combinati con ingegneria sociale. Questa dinamica ci lascia alcune lezioni fondamentali per rafforzare la resilienza delle aziende.

1. La tecnologia da sola non basta

Firewall, antivirus e sistemi EDR sono indispensabili, ma non sufficienti. Se un dipendente fornisce consapevolmente (anche se ingannato) le proprie credenziali o approva un’app malevola, nessun software può impedirlo.

La sicurezza deve essere multilivello: strumenti, processi e cultura.

2. I processi sono la prima linea di difesa

Ogni organizzazione dovrebbe avere procedure chiare e verificate per:

• Gestire richieste urgenti ricevute via telefono o email;
• Verificare l’identità di chi si presenta come IT o supporto esterno;
• Autorizzare nuove applicazioni SaaS e Connected Apps.

Un processo ben definito riduce il rischio che una decisione affrettata di un singolo diventi una falla sistemica.

3. Le persone sono il vero firewall

Il Salesforce breach dimostra che la formazione non è un “nice to have”, ma un pilastro di sicurezza. Un dipendente consapevole riconosce segnali di vishing (tono di urgenza, pressioni, richieste insolite) e sa dire “no”.

Programmi di security awareness e simulazioni regolari trasformano il personale nel primo vero human firewall dell’azienda.

4. La governance delle app SaaS è critica

Un altro insegnamento chiave è l’importanza di gestire in modo stretto le app connesse e i permessi OAuth.

• Inventario aggiornato delle integrazioni attive;
• Policy “least privilege” per limitare i dati accessibili;
• Monitoraggio costante dei log e delle API.

Così si riduce drasticamente la superficie d’attacco.

5. La resilienza è continua, non un traguardo

La cybersecurity non è mai “finita”: ogni integrazione nuova, ogni dipendente assunto, ogni cambiamento nei processi può introdurre nuove vulnerabilità.

Il caso Salesforce insegna che la vera difesa è la resilienza organizzativa, che si costruisce nel tempo con:

• Aggiornamenti costanti;
• Formazione continua;
• Revisione periodica delle policy.

Conclusione

Il Salesforce Breach 2025 resterà nella storia della cybersecurity non per un malware innovativo, ma per la sua semplicità: è bastata una telefonata ben orchestrata per colpire oltre 700+ aziende globali.

La lezione è chiara: la cybersecurity non è solo tecnologia. Firewall, MFA e sistemi avanzati sono indispensabili, ma senza processi solidi e persone consapevoli diventano difese fragili.
Questo incidente dimostra che il fattore umano è al tempo stesso l’anello più debole e la risorsa più potente nella protezione aziendale.

Per difendersi serve un approccio integrato fatto di:

• Tecnologia → monitoraggio, alert, controlli granulari su OAuth;
• Processi → policy di verifica per richieste anomale e gestione sicura delle app SaaS;
• Persone → programmi di cybersecurity awareness che trasformino i dipendenti in un vero firewall umano.

Il Salesforce breach non è un caso isolato, ma un campanello d’allarme: ogni organizzazione, grande o piccola, è un potenziale target. La differenza sta nella preparazione.

👉🏻Vuoi approfondire dal vivo questo tema?

Partecipa alla Commit University di settembre!

🎤 Speaker: Diego Sarnataro, Founder & CEO di 10punto10
📍 Dove: Firenze, sede Commit Software
📅 Quando: 25 settembre 2025
🎟️ Ingresso gratuito + aperitivo incluso – Iscriviti qui

Un’occasione per scoprire da vicino come difendere la tua azienda da attacchi di social engineering, con esempi concreti, casi reali e strategie applicabili da subito.