Cloudflare: furto di dati tramite Salesloft Drift (update)
Topic
Approfondimenti
Trending
tutti

Cloudflare: furto di dati tramite Salesloft Drift (update)

Anche Cloudflare ha subito un accesso all'istanza Salesforce tramite credenziali OAuth di Salesloft Drift rubate (furto dei dati del supporto clienti).
Cloudflare: furto di dati tramite Salesloft Drift (update)
Sicurezza
Anche Cloudflare ha subito un accesso all'istanza Salesforce tramite credenziali OAuth di Salesloft Drift rubate (furto dei dati del supporto clienti).
Cloudflare

Cloudflare ha individuato accessi non autorizzati alla sua istanza Salesforce attraverso l’applicazione Salesloft Drift. I cybercriminali hanno probabilmente sottratto alcuni dati, in particolare quelli associati ai ticket del supporto tecnico. Tutti i clienti interessati sono stati avvisati. Una simile intrusione è stata confermata da Google a fine agosto.

Cloudflare descrive l’impatto dell’intrusione

Cloudflare usa il CRM di Salesforce per registrare i dati dei clienti e come strumento di supporto. I clienti possono contattare l’azienda californiana attraverso il chatbot di Salesloft Drift presente sul sito. I cybercriminali del gruppo GRUB1 (nome scelto da Cloudflare) hanno violato i sistemi di Salesloft e ottenuto le credenziali OAuth associate all’integrazione del chatbot Drift con le istanze Salesforce. Ciò ha permesso di esfiltrare i dati dall’istanza di Cloudflare tra il 12 e il 17 agosto.

In dettaglio, i cybercriminali ha sottratto i dati associati ai ticket del supporto tecnico, tra cui le informazioni di contatto (nome, indirizzo email, numero di telefono). Cloudflare non richiede la condivisione di credenziali o chiavi API, ma alcuni clienti inviano chiavi, log e altri dati sensibili. Pertanto ogni informazione condivisa tramite il canale di supporto deve ritenersi compromessa.

Cloudflare ha ricevuto la notifica dell’attacco da Salesloft e Salesforce il 23 agosto. Ha quindi disattivato l’account Drift, disconnesso l’integrazione con l’istanza Salesforce e revocato 104 token. Non è stata rilevata nessuna attività sospetta associata a questi token. Tutti i clienti interessati sono stati informati il 2 settembre.

Il data breach di Salesloft interessa centinaia di aziende. Cloudflare ha fornito una serie di consigli per impedire l’accesso ai cybercriminali e varie misure da implementare per limitare i rischi futuri. Altre aziende che hanno confermato l’intrusione sono Palo Alto Networks e Zscaler.

Aggiornamento (10/09/2025): Salesloft ha comunicato che i cybercriminali sono riusciti ad accedere all’account dell’azienda su GitHub e all’ambiente AWS di Drift. Successivamente hanno rubato i token OAuth che hanno consentito di accedere alle istanze Salesforce tramite l’integrazione con Drift (ripristinata il 7 settembre).

Fonte: Cloudflare

Pubblicato il 3 set 2025

Link copiato negli appunti

Ti potrebbe interessare

Aladdin è il nuovo exploit 0-click usato da Predator

Aladdin è il nuovo exploit 0-click usato da Predator
3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando

3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando
Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno

Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno
VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)

VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)
Aladdin è il nuovo exploit 0-click usato da Predator

Aladdin è il nuovo exploit 0-click usato da Predator
3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando

3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando
Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno

Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno
VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)

VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)
Luca Colantuoni
Pubblicato il
3 set 2025
Link copiato negli appunti