Cloudflare confirmou um
vazamento de dados no contexto de uma série de ciberataques em
massa ligados ao ataque à cadeia de suprimentos da plataforma Salesloft Drift.
O que aconteceu?
- O incidente faz parte de um ataque em
cadeia (supply-chain) que explorou uma vulnerabilidade na integração
da plataforma Drift (Salesloft) com Salesforce, afetando centenas de
empresas globalmente, entre elas Google, Palo Alto Networks, Zscaler e
Cloudflare Channel FuturesCyber Security NewsCyberInsider.
- No caso da Cloudflare, os invasores
acessaram sua instância do Salesforce utilizada para suporte ao cliente
entre os dias 12 e 17 de agosto de 2025. Utilizaram tokens OAuth
comprometidos para exfiltrar dados de “cases” de suporte — principalmente
campos de texto — que incluíam informações como nomes, e-mails, linhas de
assunto, o conteúdo das solicitações e, possivelmente, credenciais ou
tokens incluídos nas conversas CyberInsiderCyber Security NewsThe Cloudflare Blog.
- Durante a investigação, a Cloudflare
identificou 104 tokens de API comprometidos e os rotacionou
imediatamente. Até o momento, não foi detectado uso indevido desses
tokens TechRadarCyberInsiderCyber Security NewsPenta Security Inc.TecMundoCyber Hub Podcast.
- A empresa informou aos clientes afetados e
reforçou fortemente a recomendação de que rotacionem quaisquer
credenciais que tenham sido compartilhadas através do sistema de suporte
TechRadarTecMundoCyber Security NewsCyberInsider.
- Importante destacar: nenhuma
infraestrutura ou serviço central da Cloudflare foi comprometido, o
ataque se limitou ao sistema de suporte via Salesforce TechRadarCyber Security NewsCyberInsiderChannel FuturesCSO Online.
- A Cloudflare assumiu a responsabilidade
pelo uso da ferramenta vulnerável e pediu desculpas aos clientes,
afirmando que esse episódio foi um fracasso na escolha de ferramentas de
suporte adequadas CSO OnlineCyber Security News.
Resumo em tabela
|
Aspecto |
Detalhes |
|
Tipo de ataque |
Supply-chain via Salesloft
Drift em ambiente Salesforce |
|
Período do ataque |
Entre 12 e 17 de agosto
de 2025 |
|
Dados comprometidos |
Campos de texto em “cases”
de suporte (contatos, logs, tokens, etc.) |
|
Tokens identificados |
104 tokens de API,
rotacionados sem indícios de uso indevido |
|
Infraestrutura afetada |
Nenhuma — apenas o sistema
de suporte via Salesforce |
|
Ação da Cloudflare |
Rotacionou tokens, desativou
a integração, notificou clientes |
|
Recomendação a clientes |
Rotacionar credenciais
compartilhadas via o sistema de suporte |
Confirmação do Vazamento pela
Cloudflare
- A Cloudflare confirmou que participou da
crescente lista de empresas afetadas pela brecha envolvendo o Salesloft
Drift, ressaltando que a infraestrutura e serviços centrais da empresa
não foram comprometidos, apenas seu sistema de suporte via Salesforce.TechRadarcomputing.co.uk
- O ataque fez parte de uma cadeia de
suprimentos (supply-chain attack) sofisticada, que impactou centenas
de empresas, usando credenciais OAuth roubadas da integração com o Drift
para acessar instâncias do Salesforce.The Cloudflare BlogTechRadarIT Pro
O Que Foi Comprometido e
Quando
- A invasão ocorreu entre 12 e 17 de
agosto de 2025, após uma fase inicial de reconhecimento em 9 de
agosto. Durante esse período, os invasores coletaram dados de objetos
do Salesforce chamados “case objects”, que incluem tickets de
suporte e mensagens trocadas com clientes — e não incluíram anexos.The Cloudflare Blogupguard.comcomputing.co.ukcybersecuritydive.com
- Os dados acessados incluíram informações
de contato dos clientes, linhas de assunto e corpo das conversas no
sistema de suporte — caso os clientes tenham incluído dados sensíveis como
logs, tokens ou senhas nos tickets, isso agora deve ser considerado
comprometido.The Cloudflare BlogTechRadarThe Record from Recorded Future
Ações Tomadas pela Cloudflare
- Foram identificados 104 tokens de API
da Cloudflare entre os dados exfiltrados. Apesar de não haver sinais
de uso malicioso, todos foram rotacionados imediatamente, como
precaução.TechRadarThe Record from Recorded Futurecybersecuritydive.com
- A empresa notificou todos os clientes
afetados e recomendou que também rotacionassem quaisquer credenciais
compartilhadas emocionalmente via sistema de suporte.TechRadarcomputing.co.ukcybersecuritydive.com
- Cloudflare assumiu responsabilidade pela
escolha da ferramenta vulnerável (Salesloft Drift) e se desculpou
publicamente com seus clientes.CSO Onlinecybersecuritydive.com
Por Que Isso Importa
- Esse incidente mostra como integrações de
terceiros, como o Drift, podem ser usadas como pontos de entrada para
ataques em cadeia, mesmo em empresas com alto nível de segurança.nightfall.aiThreatMon
- A ameaça detectada pela Cloudflare,
classificada como GRUB1, parecia buscar credenciais valiosas,
como chaves da AWS, tokens do Snowflake e outros segredos que pudessem ser
usados em ataques futuros.The Cloudflare BlogThreatMon
Resumo Rápido
|
Item |
Detalhes |
|
Período do ataque |
Reconhecimento em 9 de
agosto; coleta de dados entre 12–17 de agosto 2025 |
|
Dados comprometidos |
Informações de tickets de
suporte (texto), contatos e possíveis credenciais inseridas pelos clientes |
|
Tokens expostos |
104 tokens de API da
Cloudflare — todos foram rotacionados |
|
Serviços afetados |
Apenas o Salesforce usado
para suporte; infraestrutura principal não foi afetada |
|
Medidas adotadas |
Rotação de tokens,
notificação a clientes, cessação da integração afetada, desculpas aos
usuários |
|
Ameaça identificada |
Ator chamado
"GRUB1", possivelmente buscando credenciais de alto valor para
futuros ataques |
0 Comentários