Cloudflare bevestigt dat het is getroffen door het datalek bij Salesloft Drift, waarbij honderden organisaties wereldwijd slachtoffer zijn geworden. Door het incident kreeg een externe partij toegang tot de Salesforce-omgeving van Cloudflare, die wordt gebruikt voor klantondersteuning en intern casemanagement.Â
Bij het incident verzamelden de aanvallers tekstvelden uit supportcases. Die bevatten in sommige gevallen gevoelige informatie. Volgens Cloudflare gaat het voornamelijk om contactgegevens van klanten en basisinformatie over supportcases. Toch kan bepaalde communicatie meer gegevens bevatten, zoals configuratiegegevens, toegangstokens of andere vertrouwelijke informatie die klanten met de helpdesk hebben gedeeld.
Cloudflare benadrukt dat alle gegevens die via dit kanaal zijn gedeeld, als gecompromitteerd moeten worden beschouwd. Cloudflare heeft klanten daarom dringend geadviseerd hun inloggegevens te wijzigen als die ooit via supporttickets zijn verstuurd.
104 API-tokens gestolen
Uit een eigen analyse ontdekte Cloudflare dat 104 API-tokens van klanten waren buitgemaakt. Hoewel geen aanwijzingen bestaan dat deze tokens zijn misbruikt, zijn ze uit voorzorg allemaal vervangen. Klanten die direct door dit lek zijn geraakt, zijn persoonlijk geïnformeerd. De dienstverlening en infrastructuur van Cloudflare zelf zijn volgens het bedrijf niet gecompromitteerd.
De aanval is mogelijk gemaakt doordat de aanvallers toegang kregen tot OAuth-gegevens die gekoppeld waren aan de integratie van de Salesloft Drift-chatbot met Salesforce. Met deze gegevens konden zij data exfiltreren uit Salesforce-instances van meerdere Salesloft-klanten, waaronder Cloudflare.
Onderzoek door Cloudforce One, het eigen threat intelligence-team van Cloudflare, wijst erop dat het gaat om een geavanceerde supply-chain-aanval die gericht was op derde-partijintegraties. De aanvallers, door Cloudflare geclassificeerd als GRUB1, zouden tussen 12 en 17 augustus 2025 toegang hebben gehad, na een eerdere verkenning op 9 augustus.
Geen bijlagen uit de supportcases buitgemaakt
Er zijn geen bijlagen uit de supportcases buitgemaakt. Toch bevatten de geëxfiltreerde objecten wel klantinformatie, onderwerpregels en de inhoud van ticketcorrespondentie. Cloudflare stelt dat het klanten niet vraagt om wachtwoorden of andere geheimen via support te delen. Toch komt het in de praktijk voor dat klanten dergelijke gegevens in tekstvelden plakken bij het oplossen van problemen.
Salesforce en Salesloft informeerden Cloudflare op 23 augustus. Het getroffen bedrijf startte een grootschalige interne responsactie op. Hierbij werkten teams uit verschillende disciplines samen. Daarbij werden de getroffen integraties afgesloten, alle geheimen vervangen en extra voorzorgsmaatregelen genomen om ook bredere systemen en accounts te beveiligen. Op 2 september zijn vervolgens de klanten van Cloudflare geïnformeerd over het incident, waarmee de communicatie naar buiten ruim een week na de eerste melding volgde.
Cloudflare stelt dat het incident onderdeel is van een bredere campagne waarbij aanvallers klantgegevens verzamelen om toekomstige aanvallen uit te voeren. Het bedrijf waarschuwt dat andere organisaties die door dit lek zijn getroffen, rekening moeten houden met gerichte aanvallen op hun klantenbestand.