Cloudflare 确认数据泄露，黑客从 Salesforce 实例窃取客户数据

Cloudflare 确认发生数据泄露事件，一名老练的威胁行为者从该公司的 Salesforce 实例访问并窃取了客户数据。

此次攻击是更广泛的供应链攻击的一部分，利用了Salesloft Drift聊天机器人集成中的漏洞，影响了全球数百家组织。

Cloudflare 在一份详细披露中解释说，其情报团队命名为 GRUB1 的威胁行为者在 2025 年 8 月 12 日至 8 月 17 日期间未经授权访问了其 Salesforce 环境。

该公司使用 Salesforce 进行客户支持和内部案例管理。黑客成功窃取了 Salesforce“案例”中的数据，这些案例主要是客户支持工单。

泄露的信息仅限于这些支持案例中的文本字段，包括客户联系信息、案例主题和信函正文。

Cloudflare 强调，虽然他们不要求客户在支持票中分享敏感信息，但客户可能粘贴到文本字段中的任何凭据、API 密钥、日志或密码现在都应被视为已被泄露。

此次事件并未导致案件附件被访问，Cloudflare 服务或核心基础设施也未受到破坏。

作为响应措施的一部分，Cloudflare 对被盗数据进行了搜索，发现了 104 个自有 API 令牌。虽然这些令牌未与任何可疑活动关联，但出于安全考虑，这些令牌已被轮换。截至 2025 年 9 月 2 日，所有数据泄露的客户均已收到 Cloudflare 的直接通知。

调查显示，攻击始于 8 月 9 日的侦察，最初的入侵发生在 8 月 12 日。威胁行为者使用从 Salesloft Drift 集成中窃取的凭据访问并系统地探索 Cloudflare 的 Salesforce 租户，然后在 8 月 17 日泄露支持案例数据。

Cloudflare 于 8 月 23 日正式收到 Salesforce 和 Salesloft 发出的有关该漏洞的通知，并随即启动了全面的安全事件响应。

该公司的补救措施包括立即禁用受损的 Drift 集成、轮换与 Salesforce 连接的所有第三方服务的凭证，以及分析被盗数据以确定对客户的影响。

Cloudflare在一份声明中承担了此次事件的责任，并表示：“我们对用于支持我们业务的工具的选择负责。这次数据泄露让我们的客户失望了。”

对此，我们深表歉意。”该公司敦促所有客户紧急更换他们可能通过支持渠道分享的任何凭证。该事件凸显了SaaS生态系统中第三方集成所带来的风险日益增加。

此次供应链攻击的已确认受害者包括：

• Palo Alto Networks：这家网络安全公司证实其 CRM 平台的业务联系信息和内部销售数据遭到泄露。
• Zscaler：这家云安全公司报告称，客户信息（包括姓名、联系方式和一些支持案例内容）遭到访问。
• 谷歌：除了作为调查人员之外，谷歌还证实其“极少数” Workspace 帐户是通过受损令牌访问的。