Cloudflare heeft publiekelijk bekendgemaakt dat het een slachtoffer was van een grote aanval voor supply chain die klantenondersteuningsgegevens van haar Salesforce-systeem blootstelde. De inbreuk vond plaats tussen 12 augustus en 17 augustus 2025, afkomstig van een compromis bij leverancier Salesloft van derden.
aanvallers gebruikten gestolen authenticatietokens van de Driftbot-integratie van SalesLoft om toegang te krijgen tot en de tekstinhoud van ondersteuningscases te stelen. Deze gegevens omvatten klantcontactinformatie en mogelijk gevoelige referenties die klanten mogelijk hebben gedeeld met ondersteuningsteams.
Cloudflare heeft alle getroffen klanten op de hoogte gebracht en dringt er bij hen op aan om referenties te roteren die worden gedeeld via de ondersteuningskanalen. The company’s core services, infrastructure, and customer networks were not affected by this breach.
How the Salesloft Supply-Chain Attack Unfolded
The incident toont de groeiende risico’s die verband houden met software-integraties van derden. The attack vector was not a direct assault on Cloudflare but a sophisticated pivot through a trusted partner.
Threat actors first Gebreide verkoopautomatiseringsplatform SalesLoft . Ze richtten zich specifiek op de drift AI Chatbot-integratie om oAuth te stelen en tokens te vernieuwen. Deze tokens gaven hen toegang tot de Salesforce-omgevingen van de klanten van SalesLoft.
de gedetailleerde tijdlijn van CloudFlare onthult een methodische aanpak. Na de eerste verkenning op 9 augustus gebruikte de acteur, genaamd Grub1, de gestolen referentie om objecten in de Salesforce-omgeving van Cloudflare op te sommen. In de komende dagen hebben ze specifieke vragen gehouden om de gegevensstructuur en API-limieten te begrijpen.
Op 17 augustus schakelde de acteur over naar nieuwe infrastructuur en gebruikte een Salesforce Bulk API 2.0-taak om de tekst van ondersteuningscases in iets meer dan drie minuten te verwijderen. Blootgesteld
De inbreuk was beperkt tot Salesforce”case”objecten, die de tekstgebaseerde correspondentie tussen klanten en de ondersteuningsteams van CloudFlare bevatten. Bijlagen waren niet toegankelijk.
Exposeerde gegevens omvatten casusonderwerpen, contactgegevens van klanten zoals namen en e-mailadressen en de volledige casemata van de casus. Dit is het meest kritische aspect van de inbreuk voor klanten.
Cloudflare heeft expliciet gewaarschuwd dat”elke informatie die een klant mogelijk heeft gedeeld met CloudFlare in ons ondersteuningssysteem-inclusief logboeken, tokens of wachtwoorden-die het eigen scan van de geëxtiseerde gegevens van het bedrijf hebben, wat een eigen scan van de geëxtiseerde gegevens van het bedrijf, wat een eigen scan van de geëxtiseerde gegevens van het bedrijf heeft, wat een eigen scan van de geëxtiseerde gegevens van het bedrijf moet worden beschouwd, wat een eigen scan Voorzorgsmaatregel.
Het doel van de dreigingsacteur was geen willekeurige gegevensverzameling maar gerichte inloggegevens. Onderzoekers van Palo Alto Networks’Unit 42 merkten op dat de aanvallers actief de overgenomen gegevens voor Secrets scannen, inclusief AWS Access-toetsen en Snowflake-tokens, met behulp van trefwoorden zoals”wachtwoord”of”sleutel”{{U05}}.
a Wideed Campaign Campaign Targeting Honderden Campaigns
Dit was geen isoleerde aanval op een isoleerde aanval op een isoleerde aanval op een isoleerde aanval op een isoleerde aanval op een isoleerde aanval op een isoleerde aanval op een isoleerde aanval op een isoleerde aanval op een isoleerde aanval op een isoleerde aanval op een isoleerde Cloudflare. De campagne was een brede, opportunistische aanval op elke organisatie met behulp van de kwetsbare SalesLoft-integratie. Palo Alto Networks ook bevestigde dat het een slachtoffer was van dezelfde aanval . van klanten die worden getroffen door de wijdverbreide supply chain-aanval gericht op de SalesLoft Drift-applicatie die Salesforce-gegevens blootstelde,”die de schaal van het incident benadrukken. De bredere campagne liep van 8-18 augustus 2025 {{U06}}.
Google’s Threat Intelligence Team, dat de acteur volgt als UNC6395, bevestigde dat de aanvallers aangepaste tooling gebruikten en aangetoond operationele beveiligingsbewustzijn Door hun activiteit te verbergen. Over gevoelige informatie zoals AWS Access-toetsen, wachtwoorden en sneeuwvlok-gerelateerde toegangstokens,”legde het bedrijf uit. Dit suggereert dat de gestolen gegevens kunnen worden bewapend in daaropvolgende, gerichte aanvallen.
Cloudflare’s reactie en dringende aanbevelingen
cloudflare Volledige verantwoordelijkheid nemen voor het beveiligingsverloop.
“Wij zijn verantwoordelijk voor de keuze van tools die we gebruiken ter ondersteuning van ons bedrijf,”het bedrijf schreef en voegde eraan toe:”Deze inbreuk heeft onze klanten in de steek gelaten. Daarvoor verontschuldigen we ons oprecht.”Deze transparantie is een cruciale stap in het beheren van de fall-out.
Het antwoord van het bedrijf ging verder dan eenvoudige referentierotatie. Het beveiligingsteam zuiverde alle SalesLoft-software en browservertensies van zijn systemen om het risico van persistentie te verminderen en zijn beveiligingsreview te breiden naar alle externe services die zijn aangesloten op Salesforce.
CloudFlare geeft nu dringende aanbevelingen aan alle organisaties. Het adviseert om SalesLoft-applicaties los te koppelen, alle inloggegevens van derden te roteren die zijn verbonden met Salesforce en het beoordelen van ondersteuningscasegegevens voor blootgestelde gevoelige informatie.
