w jaki sposób rozstaje się atak Salesloft. href=”https://blog.cloudflare.com/response-to-salesloft-drift-incident/”target=”_ blank”> incydent pokazuje rosnące ryzyko związane z integracją oprogramowania innej strony. Wektor ataku nie był bezpośrednim atakiem na Cloudflare, ale wyrafinowanym obrotem przez zaufanego partnera.
Aktorzy zagrożeni najpierw naruszenia platforma automatyzacji sprzedaży Salesloft . W szczególności ukierunkowali integrację dryfu chatbot, aby ukraść OAuth i odświeżyć tokeny. Te tokeny przyznały im dostęp do środowisk Salesforce klientów Salesloft.
Szczegółowa harmonogram Cloudflare ujawnia metodyczne podejście. Po początkowym rozpoznaniu 9 sierpnia aktor, nazwany Grub1, użył skradzionego poświadczenia do wyliczenia obiektów w środowisku Salesforce Cloudflare. W ciągu następnych kilku dni przeprowadzili określone zapytania, aby zrozumieć strukturę danych i limity interfejsu API.
17 sierpnia aktor przeszedł na nową infrastrukturę i użył zadania Salesforce API 2.0, aby wydłużyć tekst z przypadków wsparcia w nieco ponad trzech minut, a następnie próbował usunąć zadanie, aby pokryć ich torby.
Naruszenie ograniczało się do obiektów „sprawy” Salesforce, które zawierają korespondencję tekstową między klientami a zespołami wsparcia i sprzedaży Cloudflare. Załączniki nie były dostępne.
Dane zawierające linie tematyczne, dane kontaktowe klienta, takie jak nazwy i adresy e-mail oraz pełny organ korespondencji sprawy. Jest to najważniejszy aspekt naruszenia dla klientów.
Cloudflare wyraźnie ostrzegał, że „wszelkie informacje, które klient mógł udostępnić Cloudflare w naszym systemie wsparcia-w tym dzienniki, tokeny lub hasła-należy uznać za naruszenie.”
Spółka własnego skanowania eksfiltrowanych danych wyświetlanych 104 z jego własnych API, które to obracało, które to obracało, które to gnili, które to gotowane, które it, które to jest, jako to, co jest jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jako jak się API. Środki ostrożności.
Celem aktora zagrożenia nie było losowe gromadzenie danych, ale ukierunkowane zbiór poświadczeń. Naukowcy z jednostki 42 Palo Alto Networks zauważyli, że atakujący aktywnie skanowali nabyte dane dla tajemnic, w tym klucze dostępu AWS i tokenów Snowflake, używając słów kluczowych, takich jak „hasło” lub „klucze” {{u05}}.
Kampania kierująca setki spółek spółek
to nie jest izolowany atak w trybie izolacyjnym. Cloudflare. Kampania była szerokim, oportunistycznym atakiem na każdą organizację korzystającą z wrażliwej integracji SalesLoft. Palo Alto Networks również potwierdzono, że to była ofiara tego samego ataku . Setki klientów dotknęło powszechny atak łańcucha dostaw ukierunkowany na aplikację Salesloft Drift, która ujawniła dane Salesforce “, podkreślając skalę incydentu. Szersza kampania odbyła się w dniach 8-18 sierpnia 2025 {{U06}}.
Zespół wywiadu zagrożenia Google, który śledzi aktora jako UNC6395, potwierdził, że atakujący używali niestandardowych oprzyrządowania i wykazano świadomość bezpieczeństwa operacyjnego Próbując ukryć ich aktywność. Koncentrując się na poufnych informacjach, takich jak klucze dostępu AWS, hasła i tokeny dostępu związane z płatkiem śniegu “-wyjaśniła firma. Sugeruje to, że skradzione dane mogą być uzbrojeni w kolejnych, ukierunkowanych atakach.
Odpowiedź Cloudflare i pilne rekomendacje
Cloudflare Biorąc pełną odpowiedzialność za upływ bezpieczeństwa.
„Jesteśmy odpowiedzialni za wybór narzędzi, których używamy w celu wsparcia naszej działalności”, napisała firma, dodając: „To naruszenie zawiodło naszych klientów. Za to szczerze przepraszamy”. Ta przejrzystość jest kluczowym krokiem w zarządzaniu opadem.
Odpowiedź firmy wykraczała poza prostą rotację poświadczenia. Zespół bezpieczeństwa oczyszczył całe oprogramowanie SalesLoft i rozszerzenia przeglądarki z systemów, aby ograniczyć ryzyko trwałości i rozszerzył przegląd bezpieczeństwa na wszystkie usługi stron trzecich połączonych z Salesforce.
Cloudflare zawiera teraz pilne rekomendacje dla wszystkich organizacji. Radzi odłączyć aplikacje SalesLoft, obracanie wszystkich poświadczeń stron trzecich podłączonych do Salesforce i przeglądanie danych dotyczących wsparcia pod kątem wszelkich ujawnionych poufnych informacji.