CloudFlare เปิดเผยต่อสาธารณชนว่าเป็นเหยื่อของการโจมตีห่วงโซ่อุปทานที่สำคัญที่เปิดเผยข้อมูลการสนับสนุนลูกค้าจากระบบ Salesforce การรั่วไหลเกิดขึ้นระหว่างวันที่ 12 สิงหาคมถึง 17 สิงหาคม 2568 มีต้นกำเนิดมาจากการประนีประนอมที่ Salesloft ผู้ขายบุคคลที่สาม
ผู้โจมตีใช้โทเค็นการตรวจสอบความถูกต้องที่ถูกขโมยจากการรวม AI Chatbot ของ Salesloft เพื่อเข้าถึงและขโมยเนื้อหาข้อความ ข้อมูลนี้รวมถึงข้อมูลการติดต่อกับลูกค้าและข้อมูลรับรองที่อาจมีความละเอียดอ่อนซึ่งลูกค้าอาจแบ่งปันกับทีมสนับสนุน
CloudFlare ได้แจ้งลูกค้าที่ได้รับผลกระทบทั้งหมดและกระตุ้นให้พวกเขาหมุนข้อมูลรับรองใด ๆ ที่ใช้ร่วมกันผ่านช่องทางสนับสนุน บริการหลักโครงสร้างพื้นฐานและเครือข่ายลูกค้าไม่ได้รับผลกระทบจากการละเมิดนี้
เหตุการณ์ แสดงความเสี่ยงที่เพิ่มขึ้นที่เกี่ยวข้องกับการรวมซอฟต์แวร์ของบุคคลที่สาม เวกเตอร์การโจมตีไม่ใช่การจู่โจมโดยตรงบน CloudFlare แต่เป็นเดือยที่มีความซับซ้อนผ่านพันธมิตรที่เชื่อถือได้
นักแสดงภัยคุกคามก่อน การละเมิดแพลตฟอร์มการขายอัตโนมัติขาย loft พวกเขากำหนดเป้าหมายโดยเฉพาะการรวม AI chatbot แบบดริฟท์เพื่อขโมยโทเค็น Oauth และรีเฟรช โทเค็นเหล่านี้อนุญาตให้พวกเขาเข้าถึงสภาพแวดล้อม Salesforce ของลูกค้าของ Salesloft
ไทม์ไลน์โดยละเอียดของ CloudFlare เผยให้เห็นวิธีการที่เป็นระเบียบ หลังจากการลาดตระเวนครั้งแรกเมื่อวันที่ 9 สิงหาคมนักแสดงขนานนาม GRUB1 ใช้ข้อมูลรับรองที่ถูกขโมยเพื่อระบุวัตถุในสภาพแวดล้อม Salesforce ของ CloudFlare ในอีกไม่กี่วันข้างหน้าพวกเขาดำเนินการค้นหาที่เฉพาะเจาะจงเพื่อทำความเข้าใจโครงสร้างข้อมูลและขีด จำกัด API
ในวันที่ 17 สิงหาคมนักแสดงได้เปลี่ยนไปใช้โครงสร้างพื้นฐานใหม่และใช้งาน Salesforce Bulk API 2.0 เพื่อ exfiltrate ข้อความจากการสนับสนุน เปิดเผย
การฝ่าฝืนนั้นถูก จำกัด ไว้ที่วัตถุ”กรณี”ของ Salesforce ซึ่งมีการติดต่อทางข้อความระหว่างลูกค้าและการสนับสนุนของ CloudFlare และทีมขาย ไม่สามารถเข้าถึงสิ่งที่แนบมาได้
ข้อมูลที่เปิดเผยรวมถึงหัวเรื่องเคสรายละเอียดการติดต่อลูกค้าเช่นชื่อและที่อยู่อีเมลและเนื้อหาทั้งหมดของการติดต่อกรณี นี่เป็นสิ่งที่สำคัญที่สุดของการละเมิดสำหรับลูกค้า
CloudFlare เตือนอย่างชัดเจนว่า“ ข้อมูลใด ๆ ที่ลูกค้าอาจแบ่งปันกับ CloudFlare ในระบบสนับสนุนของเรา-รวมถึงบันทึกโทเค็นหรือรหัสผ่าน ข้อควรระวัง
เป้าหมายของนักแสดงภัยคุกคามไม่ใช่การรวบรวมข้อมูลแบบสุ่ม แต่เป็นเป้าหมายการเก็บเกี่ยวข้อมูลรับรอง นักวิจัยที่ Palo Alto Networks ’42 ระบุว่าผู้โจมตีได้ทำการสแกนข้อมูลที่ได้รับสำหรับความลับรวมถึงคีย์การเข้าถึง AWS และโทเค็นเกล็ดหิมะโดยใช้คำหลักเช่น”รหัสผ่าน”หรือ”กุญแจ”{{u05}} การรณรงค์ครั้งนี้เป็นการโจมตีที่กว้างและฉวยโอกาสในองค์กรใด ๆ ที่ใช้การรวม Salesloft ที่มีช่องโหว่ Palo Alto Networks ยัง
ทีมข่าวกรองภัยคุกคามของ Google ซึ่งติดตามนักแสดงเป็น UNC6395 ยืนยันว่าผู้โจมตีใช้เครื่องมือที่กำหนดเองและ การตอบสนองของ CloudFlare และคำแนะนำเร่งด่วน