【安全圈】Cloudflare 確認 Salesforce 與 Salesloft Drift 相關數據泄露事件

關鍵詞

cloud flare

Cloudflare 近日確認，其客戶支持數據在一次涉及 Salesforce 集成的供應鏈攻擊中被泄露，但核心系統未受影響。攻擊者利用與 Salesloft Drift 聊天機器人相關的 OAuth 令牌，非法訪問了 Cloudflare 的 Salesforce 環境。Cloudflare 將這一威脅組織命名為 GRUB1。

被訪問的數據

泄露的數據主要為 Salesforce 中的“case objects”，即客戶支持工單，包含客戶聯系方式、主題及與 Cloudflare 的通信內容。雖然附件未被訪問，但文本字段中有時包含日志、配置細節，甚至在排障過程中共享的令牌或憑據。Cloudflare 在被竊數據中發現 104 個有效 API 令牌，已立即進行輪換，并未發現異常活動。受影響客戶已收到通知。

攻擊過程

調查顯示，攻擊者在 2025 年 8 月在 Cloudflare 的 Salesforce 環境內活動近一周，先進行偵察，再通過 Salesforce Bulk API 導出數據。此次事件并非孤立案例，全球數百家使用 Salesforce 與 Salesloft Drift 集成的公司均受到影響。Cloudflare 警告稱，竊取的數據可能被用于后續攻擊，如憑據濫用或定向釣魚。

受影響企業與事件范圍

除 Cloudflare 外，包括 Palo Alto Networks、Zscaler、PagerDuty、TransUnion、Google、Allianz Life、Farmers Insurance、Workday、Pandora、Cisco、Chanel、Qantas 等多家公司均受到同類 Salesforce 泄露影響。

Cloudflare 的應對措施

在得知攻擊后，Cloudflare 迅速切斷受影響的集成，清除 Salesloft 軟件和瀏覽器擴展，吊銷 OAuth 令牌，并擴大第三方服務憑據輪換。公司還加強監控、更新憑據輪換政策，并在更嚴格控制下重新啟用集成。Cloudflare 承認在工具選擇上存在風險，并對客戶表示歉意，強調需要加強第三方集成管理。

事件啟示

該事件凸顯了 SaaS 平臺供應鏈攻擊的潛在風險，特別是第三方工具和集成的安全管理。Cloudflare 的透明披露和迅速響應被業內專家認為是良好范例，為企業在供應鏈安全與事件響應方面提供了參考。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！