Ang CloudFlare ay isiniwalat sa publiko na ito ay biktima ng isang pangunahing pag-atake ng supply-chain na nakalantad ang data ng suporta sa customer mula sa sistema ng Salesforce. Ang paglabag ay naganap sa pagitan ng Agosto 12 at Agosto 17, 2025, na nagmula sa isang kompromiso sa third-party vendor salesloft. Kasama sa data na ito ang impormasyon ng contact ng customer at mga potensyal na sensitibong kredensyal na maaaring ibinahagi ng mga customer sa mga koponan ng suporta. Ang mga pangunahing serbisyo ng kumpanya, imprastraktura, at mga network ng customer ay hindi naapektuhan ng paglabag na ito. href=”https://blog.cloudflare.com/response-to-salesloft-drift-incident/”target=”_ blangko”> insidente ay nagpapakita ng lumalagong mga panganib na nauugnay sa mga pagsasama ng third-party software. Ang pag-atake ng vector ay hindi isang direktang pag-atake sa Cloudflare ngunit isang sopistikadong pivot sa pamamagitan ng isang mapagkakatiwalaang kasosyo. target=”_ blangko”> Breached sales automation platform salesloft . Partikular na na-target nila ang pag-agos ng AI Chatbot na pagsasama upang magnakaw ng Oauth at i-refresh ang mga token. Ang mga token na ito ay nagbigay sa kanila ng pag-access sa mga kapaligiran ng Salesforce ng mga customer ng Salesloft. Matapos ang paunang pag-reconnaissance noong Agosto 9, ang aktor, na tinawag na Grub1, ay ginamit ang ninakaw na kredensyal upang mabuo ang mga bagay sa kapaligiran ng Salesforce ng Cloudflare. Sa susunod na mga araw, nagpatakbo sila ng mga tiyak na query upang maunawaan ang istraktura ng data at mga limitasyon ng API.
Ang paglabag ay limitado sa mga bagay na”kaso”ng Salesforce, na naglalaman ng pagsusulat na batay sa teksto sa pagitan ng mga customer at suporta ng mga koponan at pagbebenta ng CloudFlare. Ang mga kalakip ay hindi na-access.
Ito ang pinaka kritikal na aspeto ng paglabag sa mga customer. Pag-iingat. Ang mga mananaliksik sa Palo Alto Networks’Unit 42 ay nabanggit na ang mga umaatake ay aktibong nai-scan ang nakuha na data para sa mga lihim, kasama ang AWS Access Keys at Snowflake Token, gamit ang mga keyword tulad ng”Password”o”Key”{{U05}}. Cloudflare. Ang kampanya ay isang malawak, oportunistang pag-atake sa anumang samahan gamit ang mahina na pagsasama ng Salesloft. Palo Alto Networks Gayundin Kinumpirma na ito ay isang biktima ng parehong pag-atake . Daan-daang mga customer na naapektuhan ng malawak na pag-atake ng supply chain na nagta-target sa application ng Salesloft Drift na nakalantad ang data ng Salesforce,”ang pag-highlight ng sukat ng insidente. Ang mas malawak na kampanya ay tumakbo mula Agosto 8-18, 2025 {{U06}}. href=”https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-via-salesloft-drift”target=”_ blangko”Tumutuon sa sensitibong impormasyon tulad ng AWS Access Keys, password, at mga token na may kaugnayan sa snowflake,”paliwanag ng kumpanya. Ipinapahiwatig nito na ang ninakaw na data ay maaaring maging sandata sa kasunod, mga target na pag-atake. 2, Ang buong responsibilidad para sa pagkawasak ng seguridad. Ang transparency na ito ay isang mahalagang hakbang sa pamamahala ng pagbagsak.
Ang tugon ng kumpanya ay lumampas sa simpleng pag-ikot ng kredensyal. Ang pangkat ng seguridad nito ay naglinis ng lahat ng mga software ng Salesloft at mga extension ng browser mula sa mga system nito upang mabawasan ang panganib ng pagtitiyaga at pinalawak ang pagsusuri ng seguridad sa lahat ng mga serbisyo ng third-party na konektado sa Salesforce. Pinapayuhan nito ang pag-disconnect ng mga application ng SalesLoft, umiikot ang lahat ng mga kredensyal ng third-party na konektado sa Salesforce, at pagsusuri ng data ng suporta sa kaso para sa anumang nakalantad na sensitibong impormasyon.