Cloudflare telah mendedahkan secara terbuka ia menjadi mangsa serangan rantaian bekalan utama yang mendedahkan data sokongan pelanggan dari sistem Salesforce. Pelanggaran itu berlaku antara 12 Ogos dan 17 Ogos 2025, yang berasal dari kompromi di Salesloft penjual pihak ketiga. Data ini termasuk maklumat hubungan pelanggan dan kelayakan yang berpotensi sensitif yang mungkin dikongsi oleh pelanggan dengan pasukan sokongan.
CloudFlare telah memberitahu semua pelanggan yang terkena dan mendesak mereka untuk memutar sebarang kelayakan yang dikongsi melalui saluran sokongannya. Perkhidmatan teras, infrastruktur, dan rangkaian pelanggan syarikat tidak terjejas oleh pelanggaran ini. href=”https://blog.cloudflare.com/response-to-salesloft-drift-incident/”target=”_ blank”> Insiden menunjukkan risiko yang semakin meningkat yang berkaitan dengan integrasi perisian pihak ketiga. Vektor serangan bukanlah serangan langsung ke atas Cloudflare tetapi pivot yang canggih melalui rakan kongsi yang dipercayai. sasaran=”_ kosong”> Platform Automasi Jualan yang dilanggar SalesLoft . Mereka secara khusus mensasarkan integrasi chatbot AI drift untuk mencuri token oauth dan refresh. Tanda-tanda ini memberi mereka akses kepada persekitaran Salesforce pelanggan Salesloft.
Garis masa terperinci Cloudflare mendedahkan pendekatan yang teratur. Selepas peninjauan awal pada 9 Ogos, pelakon, yang digelar Grub1, menggunakan kelayakan yang dicuri untuk menghitung objek dalam persekitaran Salesforce Cloudflare. Dalam beberapa hari akan datang, mereka menjalankan pertanyaan khusus untuk memahami struktur data dan had API.
Pada 17 Ogos, pelakon itu beralih ke infrastruktur baru dan menggunakan pekerjaan Salesforce API 2.0 untuk melupuskan teks dari kes-kes sokongan dalam masa lebih dari tiga minit, kemudian cuba memadamkan pekerjaan mereka Terdedah
Pelanggaran itu terhad kepada objek”kes”Salesforce, yang mengandungi surat-menyurat berasaskan teks antara pelanggan dan sokongan dan pasukan jualan Cloudflare. Lampiran tidak diakses.
Data terdedah termasuk baris subjek kes, butiran hubungan pelanggan seperti nama dan alamat e-mel, dan badan penuh korespondensi kes. Ini adalah aspek yang paling kritikal bagi pelanggaran untuk pelanggan. Langkah berjaga-jaga. Penyelidik di Unit 42 Palo Alto Networks menyatakan bahawa penyerang secara aktif mengimbas data yang diperolehi untuk rahsia, termasuk kekunci akses AWS dan token Snowflake, menggunakan kata kunci seperti”kata laluan”atau”kunci”{u05}}. Kempen ini adalah serangan yang luas dan oportunistik terhadap mana-mana organisasi yang menggunakan integrasi Salesloft yang terdedah. Palo Alto Networks juga Menunjukkan kesedaran keselamatan operasi
Sambutan syarikat melampaui putaran kredensial mudah. Its security team purged all Salesloft software and browser extensions from its systems to mitigate the risk of persistence and expanded its security review to all third-party services connected to Salesforce.
Cloudflare is now providing urgent recommendations to all organizations. Ia menasihatkan melepaskan aplikasi SalesLoft, berputar semua kelayakan pihak ketiga yang disambungkan ke Salesforce, dan mengkaji semula data kes sokongan untuk sebarang maklumat sensitif yang terdedah.