Cloudflare ha individuato accessi non autorizzati alla sua istanza Salesforce attraverso l’applicazione Salesloft Drift. I cybercriminali hanno probabilmente sottratto alcuni dati, in particolare quelli associati ai ticket del supporto tecnico. Tutti i clienti interessati sono stati avvisati. Una simile intrusione è stata confermata da Google a fine agosto.

Cloudflare descrive l’impatto dell’intrusione

Cloudflare usa il CRM di Salesforce per registrare i dati dei clienti e come strumento di supporto. I clienti possono contattare l’azienda californiana attraverso il chatbot di Salesloft Drift presente sul sito. I cybercriminali del gruppo GRUB1 (nome scelto da Cloudflare) hanno violato i sistemi di Salesloft e ottenuto le credenziali OAuth associate all’integrazione del chatbot Drift con le istanze Salesforce. Ciò ha permesso di esfiltrare i dati dall’istanza di Cloudflare tra il 12 e il 17 agosto.

In dettaglio, i cybercriminali ha sottratto i dati associati ai ticket del supporto tecnico, tra cui le informazioni di contatto (nome, indirizzo email, numero di telefono). Cloudflare non richiede la condivisione di credenziali o chiavi API, ma alcuni clienti inviano chiavi, log e altri dati sensibili. Pertanto ogni informazione condivisa tramite il canale di supporto deve ritenersi compromessa.

Cloudflare ha ricevuto la notifica dell’attacco da Salesloft e Salesforce il 23 agosto. Ha quindi disattivato l’account Drift, disconnesso l’integrazione con l’istanza Salesforce e revocato 104 token. Non è stata rilevata nessuna attività sospetta associata a questi token. Tutti i clienti interessati sono stati informati il 2 settembre.

Il data breach di Salesloft interessa centinaia di aziende. Cloudflare ha fornito una serie di consigli per impedire l’accesso ai cybercriminali e varie misure da implementare per limitare i rischi futuri. Altre aziende che hanno confermato l’intrusione sono Palo Alto Networks e Zscaler.