Το Cloudflare αποκάλυψε δημοσίως ότι ήταν θύμα μιας σημαντικής επίθεσης αλυσίδας εφοδιασμού που εκθέσει δεδομένα υποστήριξης πελατών από το σύστημα Salesforce. Η παραβίαση πραγματοποιήθηκε μεταξύ 12 Αυγούστου και 17 Αυγούστου 2025, που προέρχεται από συμβιβασμό σε τρίτους πωλητές Salesloft. Αυτά τα δεδομένα περιλαμβάνουν στοιχεία επικοινωνίας με τον πελάτη και δυνητικά ευαίσθητα διαπιστευτήρια που οι πελάτες ενδέχεται να έχουν μοιραστεί με ομάδες υποστήριξης.
Το Cloudflare έχει ειδοποιήσει όλους τους πελάτες που επηρεάζονται και τους παροτρύνει να περιστρέψουν τυχόν διαπιστευτήρια που μοιράζονται μέσω των καναλιών υποστήριξης. Οι βασικές υπηρεσίες, η υποδομή και τα δίκτυα πελατών της εταιρείας δεν επηρεάστηκαν από αυτή την παραβίαση. href=”https://blog.cloudflare.com/response-to-salesloft-drift-incident/”target=”_ blank”> δείχνει τους αυξανόμενους κινδύνους που σχετίζονται με την ενσωμάτωση λογισμικού τρίτου μέρους. Ο φορέας επίθεσης δεν ήταν άμεση επίθεση στο CloudFlare, αλλά ένας εκλεπτυσμένος άξονας μέσω ενός αξιόπιστου συνεργάτη. Target=”_ blank”> Πλατφόρμα αυτοματοποίησης πωλήσεων Salesloft . Στόχονταν ειδικά στην ενσωμάτωση του Drift AI chatbot για να κλέψουν τα Oauth και ανανεώστε τα μάρκες. Αυτά τα μάρκες τους έδωσαν πρόσβαση στα περιβάλλοντα Salesforce των πελατών της Salesloft.
Το λεπτομερές χρονοδιάγραμμα της CloudFlare αποκαλύπτει μια μεθοδική προσέγγιση. Μετά την αρχική αναγνώριση στις 9 Αυγούστου, ο ηθοποιός, που ονομάστηκε Grub1, χρησιμοποίησε το κλεμμένο πιστοποιητικό για να απαριθμήσει αντικείμενα στο περιβάλλον Salesforce της Cloudflare. Τις επόμενες ημέρες, έτρεξαν συγκεκριμένα ερωτήματα για να κατανοήσουν τη δομή των δεδομένων και τα όρια API. Η παραβίαση περιοριζόταν σε αντικείμενα Salesforce”Case”, τα οποία περιέχουν την αλληλογραφία που βασίζεται σε κείμενο μεταξύ των πελατών και των ομάδων υποστήριξης και πωλήσεων της Cloudflare. Τα συνημμένα δεν είχαν πρόσβαση. Αυτή είναι η πιο κρίσιμη πτυχή της παραβίασης των πελατών. ΠΡΟΚΑΤΑΣΤΑΣΗ.
Ο στόχος του ηθοποιού δεν ήταν τυχαία συλλογή δεδομένων, αλλά στοχευμένη συγκομιδή διαπιστευτηρίων. Οι ερευνητές της Μονάδας 42 της Palo Alto Networks σημείωσαν ότι οι επιτιθέμενοι σάρωσαν ενεργά τα αποκτηθέντα δεδομένα για μυστικά, συμπεριλαμβανομένων των πλήκτρων πρόσβασης AWS και των μονάδων χιονιού, χρησιμοποιώντας λέξεις-κλειδιά όπως”Password”ή”Key”{{u05}. Η εκστρατεία ήταν μια ευρεία, ευκαιριακή επίθεση σε οποιονδήποτε οργανισμό χρησιμοποιώντας την ευάλωτη ολοκλήρωση του Salesloft. Palo Alto Networks Επίσης, επιβεβαίωσε ότι ήταν θύμα της ίδιας επίθεσης . των πελατών που επηρεάζονται από την εκτεταμένη επίθεση εφοδιαστικής αλυσίδας που στοχεύει στην εφαρμογή Salesloft Drift που επέδειξε τα δεδομένα Salesforce,”επισημαίνοντας την κλίμακα του συμβάντος. Η ευρύτερη εκστρατεία έτρεξε από τις 8-18 Αυγούστου 2025 {{U06}}. href=”https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-via-salesloft-drift”target=”_ blank”> Σε ευαίσθητες πληροφορίες, όπως τα πλήκτρα πρόσβασης AWS, τους κωδικούς πρόσβασης και τα σημάδια πρόσβασης που σχετίζονται με τη νιφάδα χιονιού”, εξήγησε η εταιρεία. Αυτό υποδηλώνει ότι τα κλεμμένα δεδομένα θα μπορούσαν να όπλα σε επόμενες, στοχοθετημένες επιθέσεις. 2, Αναλαμβάνοντας την πλήρη ευθύνη για την καθυστέρηση ασφαλείας. Αυτή η διαφάνεια είναι ένα κρίσιμο βήμα για τη διαχείριση της πτώσης. Η απάντηση της εταιρείας ξεπέρασε την απλή περιστροφή των διαπιστευτηρίων. Η ομάδα ασφαλείας του καθαρίστηκε όλα τα λογισμικά Salesloft και οι επεκτάσεις του προγράμματος περιήγησης από τα συστήματά της για να μετριάσουν τον κίνδυνο εμμονής και επέκτειναν την ανασκόπηση της ασφάλειας σε όλες τις υπηρεσίες τρίτων που συνδέονται με το Salesforce. Συμβουλεύει την αποσύνδεση των εφαρμογών Salesloft, την περιστροφή όλων των διαπιστευτηρίων τρίτων που συνδέονται με το Salesforce και την αναθεώρηση των δεδομένων υποστήριξης για τυχόν εκτεθειμένες ευαίσθητες πληροφορίες.