CloudFlare divulgou publicamente que foi vítima de um grande ataque da cadeia de suprimentos que expôs dados de suporte ao cliente de seu sistema Salesforce. A brecha ocorreu entre 12 e 17 de agosto de 2025, originária de um compromisso em vendedores de terceiros. Esses dados incluem informações de contato do cliente e credenciais potencialmente sensíveis que os clientes podem ter compartilhado com as equipes de suporte. Os principais serviços da empresa, a infraestrutura e as redes de clientes não foram afetadas por essa violação. href=”https://blog.cloudflare.com/pressonse-to-salesloft-drift-incident/”Target=”_ Blank”> Incidente mostra os riscos crescentes associados a integrações de software de terceiros. O vetor de ataque não foi um ataque direto ao Cloudflare, mas um pivô sofisticado através de um parceiro de confiança. Target=”_ Blank”> Plataforma de automação de vendas violada Salesloft . Eles direcionaram especificamente sua integração de Chatbot de Drift AI para roubar oauth e atualizar tokens. Esses tokens concederam acesso aos ambientes do Salesforce dos clientes da Salesloft.
A linha do tempo detalhada do CloudFlare revela uma abordagem metódica. Após o reconhecimento inicial em 9 de agosto, o ator, apelidado de Grub1, usou a credencial roubada para enumerar objetos no ambiente do Salesforce da CloudFlare. Nos próximos dias, eles executaram consultas específicas para entender a estrutura de dados e os limites da API.
A violação foi limitada aos objetos do Salesforce”Case”, que contêm a correspondência baseada em texto entre os clientes e as equipes de suporte e vendas da CloudFlare. Os anexos não foram acessados. Os dados expostos incluem linhas de assunto, detalhes de contato do cliente, como nomes e endereços de email, e o corpo completo da correspondência do caso. Esse é o aspecto mais crítico da violação para os clientes. precaução. Pesquisadores da Unidade 42 da Palo Alto Networks observaram que os invasores estavam examinando ativamente os dados adquiridos em busca de segredos, incluindo chaves de acesso da AWS e tokens de floco de neve, usando palavras-chave como”senha”ou”key”{{u05}}. Cloudflare. A campanha foi um ataque amplo e oportunista a qualquer organização usando a integração vulnerável da Salesloft. Palo Alto Networks também confirmou que uma vítima foi da vítima do mesmo ataque . Os clientes afetados pelo ataque generalizado da cadeia de suprimentos direcionados ao aplicativo Salesloft Drift que expuseram os dados do Salesforce,”destacando a escala do incidente. A campanha mais ampla foi de 8 a 18 de agosto de 2025 {{U06}}. href=”https://cloud.google.com/blog/topics/thereat-intelligence/data-theft-salesforce-insnces-vies-salesloft-drift”Target=”_ Blank”> Aconhece para a segurança operacional demonstrada A tentativa de ocultar sua atividade. focando em informações confidenciais, como chaves de acesso da AWS, senhas e tokens de acesso relacionados a flocos de neve”, explicou a empresa. Isso sugere que os dados roubados podem ser armas em ataques subsequentes e direcionados. 2 de setembro de Assumindo total responsabilidade pelo lapso de segurança. Essa transparência é uma etapa crucial no gerenciamento das consequências.
A resposta da empresa foi além da simples rotação de credenciais. Sua equipe de segurança purificou todos os softwares da Salesloft e extensões de navegador de seus sistemas para mitigar o risco de persistência e expandir sua revisão de segurança para todos os serviços de terceiros conectados ao Salesforce.
Cloudflare agora está fornecendo recomendações urgentes a todas as organizações. Ele aconselha desconectar os aplicativos da Salesloft, girar todas as credenciais de terceiros conectadas ao Salesforce e revisar os dados do caso de suporte para qualquer informação sensível exposta.
