Cloudflare признала утечку данных после взлома Salesloft Drift — затронуты support-запросы клиентов

Компания уже опубликовала список действий для клиентов, чтобы минимизировать риски

Cloudflare подтвердила утечку клиентских данных из-за взлома Salesloft Drift — чат-виджета, интегрированного с CRM Salesforce. Через эту уязвимость хакеры получили доступ к тикетам, которые пользователи отправляли в поддержку.

Речь идёт не о взломе самих сервисов Cloudflare — инфраструктура компании осталась в безопасности. Но с 12 по 17 августа злоумышленники получили текстовое содержимое тикетов, включая переписки с саппортом и контактные данные клиентов.

Что именно утекло

Утекли заголовки тикетов, контактные данные клиентов и всё текстовое содержимое переписки. Это могут быть логины, токены, ключи, логи, пароли — если вы когда-либо вставляли их в обращение.

Файлы и вложения, прикреплённые к тикетам, не пострадали. Но всё, что вы писали в свободной форме — стоит считать скомпрометированным.

Как Cloudflare отреагировала

Компания отозвала все сторонние интеграции с Salesforce, провела расследование и отключила Drift от своей системы.

Программист опубликовал жесткий манифест против «ИИ-зависимых» разработчиковtproger.ru

Из 104 обнаруженных утекших API-токенов Cloudflare, ни один пока не был использован, но все они уже отозваны «на всякий случай».

Кто за этим стоит

Атаку провела хакерская группа GRUB1. Они использовали доступ к OAuth-токену Drift, чтобы входить в Salesforce и выгружать данные. Атака была многодневной: сначала разведка, затем массовая выгрузка и удаление следов.

GRUB1 использовали инфраструктуру AWS и DigitalOcean, а также популярные open-source инструменты вроде Trufflehog. Cloudflare опубликовала IOCs (индикаторы компрометации), чтобы другие компании могли отследить похожие атаки.

Масштаб и риски

Cloudflare — не единственная жертва. Взлом Drift затронул сотни компаний, использующих эту интеграцию в своих Salesforce-средах. Это классическая атака на цепочку поставок.

По мнению Cloudflare, хакеры могли собирать данные для последующих таргетированных атак на клиентов затронутых компаний. Это не случайный слив, а подготовленная разведывательная операция.

Что делать пользователям Cloudflare

Cloudflare уже уведомила всех затронутых клиентов напрямую. Но даже если вы не получили письмо, рекомендуется:

• проверить переписки в техподдержке через Support Portal;
• отозвать любые ключи, токены или пароли, которые могли быть в тикетах;
• провести аудит сторонних SaaS-интеграций с CRM;
• отключить Drift, если он используется в вашей системе;
• пересмотреть политику доступа сторонних сервисов и настроить регулярную ротацию секретов.