CX-platforms verwerken elk jaar miljarden ongestructureerde interacties: enquêteformulieren, beoordelingssites, sociale feeds en callcentertranscripties stromen allemaal naar een AI-engine die geautomatiseerde workflows activeert die de salarisadministratie, CRM en betalingssystemen omvatten. Er waren geen tools in de stack van een security operations center die controleerden wat de AI-engine van het CX-platform absorbeerde, en de aanvaller ontdekte dit. Ze vergiftigen de gegevens die erin worden ingevoerd, en het is de AI die de schade voor hen veroorzaakt.
De Salesloft/Drift-breuk in augustus 2025 bewees dit. Aanvaller de GitHub-omgeving van Salesloft in gevaar brengenhet stelen van Drift-chatbot OAuth-tokens, en toegang krijgen tot de Salesforce-omgeving in meer dan 700 organisaties, waaronder Cloudflare, Palo Alto Networks en Zscaler. Dus gestolen gegevens scannen voor AWS-sleutels, Snowflake-tokens en wachtwoorden in platte tekst. En er wordt geen malware verspreid.
De kloof is groter dan de meeste beveiligingsleiders zich realiseren: 98% van de organisaties beschikt over een programma ter voorkoming van gegevensverlies (DLP), maar slechts 6% beschikt over specifieke middelenDat blijkt uit het Voice of the CISO-rapport uit 2025 van Proofpoint, waarin 1.600 CISO’s in 16 landen werden ondervraagd. En 81% interactieve inbraken gebruik nu geautoriseerde toegang vergeleken met malware, volgens CrowdStrike’s Threat Hunting Report 2025. Het aantal cloudinbraken is in de eerste helft van 2025 met 136% gestegen.
“De meeste beveiligingsteams classificeren platformen voor ervaringsbeheer nog steeds als ‘enquêtetools’, die hetzelfde risico met zich meebrengen als toepassingen voor projectbeheer”, vertelde Assaf Keren, chief security officer bij Qualtrics en voormalig CISO bij PayPal, in een recent interview aan VentureBeat. “Dit is een enorme verkeerde categorisering. Deze platforms zijn nu verbonden met HRIS, CRM en compensatiemotoren.” De eigen processen van Qualtrics Jaarlijks 3,5 miljard interactieseen cijfer dat volgens het bedrijf sinds 2023 is verdubbeld. Organisatie kan het zich niet veroorloven om stappen over te slaan op invoerintegriteit zodra de AI de workflow betreedt.
VentureBeat heeft enkele weken lang veiligheidsleiders geïnterviewd die deze kloof proberen te dichten. In elk gesprek kwamen zes controlefouten naar voren.
Zes blinde vlekken tussen de securitystack en de AI-engine
1. DLP kan de ongestructureerde sentimentgegevens die via standaard API-aanroepen naar buiten komen, niet zien
Het meeste DLP-beleid classificeert gestructureerde persoonlijk identificeerbare informatie (PII): naam, e-mailadres en betalingsgegevens. CX-reacties in open tekst omvatten salarisklachten, gezondheidsverklaringen en kritiek van leidinggevenden. Geen enkele komt overeen met standaard PII-patronen. Wanneer een AI-tool van derden die gegevens ophaalt, ziet de export eruit als een routinematige API-aanroep. DLP wordt nooit ingeschakeld.
2. Zombie API-tokens van voltooide campagnes zijn nog steeds actief
Voorbeeld: Mmarketing voerde zes maanden geleden een CX-campagne uit, en die eindigde. Maar het OAuth-token dat het CX-platform verbindt met de HRIS-, CRM- en betalingssystemen is nooit ingetrokken. Dat betekent dat elk zijdelings bewegingspad open is.
JPMorgan Chase CISO Patrick Opet signaleert dit risico in zijn boek Open brief april 2025waarschuwt dat het SaaS-integratiemodel ‘expliciet vertrouwen van één factor tussen systemen’ creëert via tokens ‘die niet voldoende beveiligd zijn … kwetsbaar voor diefstal en hergebruik.’
3. Openbare feedbackkanalen hebben geen botbeperking voordat de gegevens de AI-engine bereiken
Firewalls voor webapplicaties onderzoeken HTTP-payloads voor webapplicaties, maar geen van deze dekking omvat Trustpilot-beoordelingen, Google Maps-beoordelingen of antwoorden op open tekstonderzoeken die door het CX-platform als geldige invoer worden opgenomen. Frauduleus sentiment dat deze kanalen overspoelt, is onzichtbaar voor de perimetercontrole. VentureBeat vroeg beveiligingsleiders en leveranciers of iets de integriteit van het invoerkanaal omvat voor openbare gegevensbronnen die CX AI-engines voeden; Het blijkt dat deze categorie nog niet bestaat.
4. Zijwaartse beweging van het gecompromitteerde CX-platform wordt uitgevoerd via goedgekeurde API-aanroepen
“De vijand brak niet in, ze kwamen binnen”, vertelde Daniel Bernard, chief business officer bij CrowdStrike, aan VentureBeat in een exclusief interview. “Het is een geldige login. Dus vanuit een ISV-perspectief van een derde partij heb je een inlogpagina en tweefactorauthenticatie. Wat wil je nog meer van ons?”
Deze dreiging strekt zich uit tot menselijke en niet-menselijke identiteiten. Bernard beschrijft het als volgt: “Plotseling worden terabytes aan gegevens geëxporteerd. Dit is niet-standaard gebruik. Het gaat naar plaatsen waar deze gebruikers nog nooit zijn geweest.” A beveiligingsinformatie en evenementenbeheer (SIEM-systeem) ziet dat de authenticatie is geslaagd. Hij zag de gedragsverandering niet. Zonder wat Bernard ‘softwarepostuurbeheer’ noemt dat het CX-platform omvat, vindt zijdelingse beweging plaats via verbindingen die zijn goedgekeurd door het beveiligingsteam.
5. Niet-technische gebruikers hebben beheerdersrechten die door niemand worden beoordeeld
Marketing-, HR- en klantsuccesteams configureren CX-integraties omdat ze snelheid nodig hebben, maar SOC-teams zullen dit misschien nooit zien. Veiligheid moet een bijdragende factor zijn, zei Keren, of het team moet dit aanpakken. Elke organisatie die niet in staat is een up-to-date overzicht te maken van elke CX-platformintegratie en de beheerdersreferenties erachter, wordt blootgesteld aan schaduwbeheerders.
6. Open tekstfeedback wordt in de database geplaatst voordat de PII wordt gesloten
Medewerkersenquêtes registreren klachten tegen managers op naam, salarisklachten en gezondheidsverklaringen. Klantfeedback wordt ook onthuld: accountgegevens, aankoopgeschiedenis, servicegeschillen. Niets van dit alles heeft betrekking op de gestructureerde PII-classificator, aangezien deze als vrije tekst wordt geleverd. Als een inbreuk deze blootlegt, krijgt de aanvaller privé-informatie blootgelegd langs het zijwaartse bewegingspad.
Niemand heeft deze kloof
Deze zes mislukkingen hebben dezelfde hoofdoorzaak: SaaS-beveiligingspostuurbeheer is volwassener geworden voor Salesforce, ServiceNow en andere bedrijfsplatforms. CX-platforms krijgen nooit dezelfde behandeling. Er is geen monitoring van gebruikersactiviteit, machtigingen of configuratie binnen het ervaringsbeheerplatform en beleidshandhaving op AI-workflows die niet-bestaande gegevens verwerken. Wanneer botgestuurde invoer of afwijkende gegevensexports de CX-applicatielaag binnenkomen, merkt niemand dit op.
Beveiligingsteams reageren met wat ze hebben. Sommige breiden SSPM-tools uit met CX-platformconfiguratie en -machtigingen. API-beveiligingsgateways bieden een ander pad, waarbij de tokendekking en gegevensstroom tussen het CX-platform en downstream-systemen worden gecontroleerd. Identiteitsgerichte teams passen CASB-achtige toegangscontroles toe op CX-beheerdersaccounts.
Geen van beide benaderingen biedt wat de CX-laagbeveiliging echt nodig heeft: continue monitoring van wie toegang heeft tot ervaringsgegevens, realtime inzicht in verkeerde configuraties voordat deze laterale bewegingspaden worden, en geautomatiseerde beveiligingen die beleid afdwingen zonder te wachten op driemaandelijkse beoordelingscycli.
De eerste integratie die speciaal voor dat gat is gebouwd, verbindt postuurbeheer rechtstreeks met de CX-laag, waardoor beveiligingsteams dezelfde dekking krijgen van programma-activiteit, configuratie en gegevenstoegang die ze verwachten voor Salesforce of ServiceNow. CrowdStrike’s Falcon Shield en XM’s Qualtrics Platform zijn het paar erachter. Beveiligingsleiders geïnterviewd door VentureBeat zeggen dat dit controles zijn die ze handmatig bouwen – en waar ze niet van slapen.
Het explosieradiusveiligheidsteam heeft geen metingen verricht
De meeste organisaties hebben de technische explosieradius in kaart gebracht. ‘Maar niet de explosieradius van het bedrijf,’ zei Keren. Wanneer een AI-engine compenserende aanpassingen activeert op basis van vergiftigde gegevens, is de schade geen veiligheidsincident. Dit is een verkeerde zakelijke beslissing die met machinesnelheid wordt genomen. De kloof ligt tussen de CISO, de CIO en de eigenaren van de businessunits. Momenteel heeft niemand het.
“Als we data gebruiken om zakelijke beslissingen te nemen, moeten de data correct zijn”, zegt Keren.
Voer een audit uit en begin met zombietokens. Dit is waar de schaalovertreding van Drift begint. Begin met een validatieperiode van 30 dagen. AI wacht niet.
