CloudFlare hat öffentlich bekannt gegeben, dass es sich um ein Opfer eines großen Angriffs von Lieferketten handelte, die Kundenunterstützungsdaten aus seinem Salesforce-System enthüllten. Der Verstoß ereignete sich zwischen dem 12. August und dem 17. August 2025 und stammt aus einem Kompromiss bei Drittanbieter-Anbieter Salesloft. Diese Daten umfassen Kundenkontaktinformationen und potenziell sensible Anmeldeinformationen, die Kunden möglicherweise mit Support-Teams geteilt haben. Die Kerndienste, die Infrastruktur und die Kundennetzwerke des Unternehmens wurden von diesem Verstoß nicht beeinflusst. href=”https://blog.cloudflare.com/Response-t-salesloft-drift-incident/”target=”_ leer”> Vorfall zeigt die wachsenden Risiken, die mit Software-Integrationen von Drittanbietern verbunden sind. Der Angriffsvektor war kein direkter Angriff auf CloudFlare, sondern ein ausgeklügelter Drehpunkt durch einen vertrauenswürdigen Partner. target=”_ leer”> Verstöße gegen die Vertriebsautomatisierungsplattform Salesloft . Sie zielten speziell auf die Integration der Drift-AI-Chatbot-Integration ab, um OAuth-und Aktualisieren von Token zu stehlen. Diese Token gewährten ihnen Zugriff auf die Salesforce-Umgebungen der Kunden von Salesloft. Nach der Erstaufklärung am 9. August verwendete der Schauspieler GRUB1 den gestohlenen Anmeldeinformationen, um Objekte in der Salesforce-Umgebung von CloudFlare aufzählten. In den nächsten Tagen führten sie spezifische Fragen an, um die Datenstruktur und die API-Grenzen zu verstehen. Exponierte
Der Verstoß war auf Salesforce-Fallobjekte beschränkt, die die textbasierte Korrespondenz zwischen Kunden und Cloudflare-Support-und Verkaufsteams enthalten. Die Anhänge wurden nicht zugegriffen.
Freiliegende Daten enthält Fallsthema, Kundenkontaktdaten wie Namen und E-Mail-Adressen und der gesamte Gremium der Fallkorrespondenz. Dies ist der kritischste Aspekt des Verstoßes für Kunden. Vorsichtsmaßnahmen. Forscher der Einheit von Palo Alto Networks 42 stellten fest, dass die Angreifer die erfassten Daten für Geheimnisse aktiv scannen, einschließlich AWS-Zugriffsschlüssel und Schneeflocken-Token. Die Kampagne war ein breiter, opportunistischer Angriff auf jede Organisation, die die gefährdete Salesloft-Integration nutzte. Palo Alto Networks auch demonstrierte demonstrierte Sicherheitsbewusstseinsbekenntnisse Durch das Verstecken ihres Aktivitäts. Konzentration auf sensible Informationen wie AWS-Zugriffsschlüssel, Passwörter und Schneeflocken-Zugangsanträge “, erklärte das Unternehmen. Dies deutet darauf hin, dass die gestohlenen Daten in nachfolgenden, gezielten Angriffen aufgewaltet werden könnten. 2, Übernimmt die volle Verantwortung für den Sicherheitslust. Diese Transparenz ist ein entscheidender Schritt bei der Verwaltung des Fallouts. Das Sicherheitsteam hat alle Salesloft-Software-und Browser-Erweiterungen aus seinen Systemen gelöscht, um das Risiko einer Persistenz abzuschwächen, und die Sicherheitsüberprüfung auf alle mit Salesforce verbundenen Drittanbieterdienste erweitert. Es empfiehlt, Vertriebsloftanwendungen zu trennen, alle mit Salesforce verbundenen Drittanbieter zu rotieren und Support-Falldaten für alle exponierten sensiblen Informationen zu überprüfen.