Компания Cloudflare официально объявила о масштабной утечке данных клиентов, произошедшей в результате сложной цепочки атак через интеграцию Salesforce с платформой Salesloft Drift. Инцидент, датируемый периодом с 12 по 17 августа 2025 года, привёл к компрометации информации из обращений в службу поддержки и потенциально чувствительных учетных данных, переданных через сервисные каналы.
Компания обнаружила подозрительную активность в своей среде Salesforce на прошлой неделе после уведомления от Salesforce и Salesloft о более широком инциденте безопасности. Атака была организована продвинутой угрозой, обозначенной как GRUB1, которая использовала скомпрометированные учетные данные OAuth из интеграции чат-бота Salesloft Drift для доступа к системе поддержки клиентов Cloudflare.
Скомпрометированные данные включают контактную информацию клиентов, темы обращений в поддержку и полное содержание переписки с сервисной командой Cloudflare. Хотя вложения файлов не были доступны, утечка потенциально раскрыла любую чувствительную информацию, которую клиенты могли передать в тикетах, включая API-токены, пароли, логи и детали конфигурации.
«Учитывая, что данные обращений в поддержку Salesforce содержат содержимое тикетов, любую информацию, которую клиент делил с Cloudflare в нашей системе поддержки, следует считать скомпрометированной», - заявила компания в своем отчете об инциденте. Это не была изолированная атака исключительно на Cloudflare. Группа GRUB1 нацелилась на сотни организаций по всему миру через ту же уязвимость в Salesloft Drift, что делает эту кампанию одной из самых значительных атак по цепочке поставок в 2025 году.
Группа Google Threat Intelligence Group также опубликовала исследование, согласующееся с выводами Cloudflare о данной сложной кампании. В ходе расследования Cloudflare обнаружила 104 собственных API-токена в скомпрометированных данных. Хотя подозрительной активности с этими токенами выявлено не было, все они были немедленно заменены в превентивном порядке. Компания подчеркнула, что ни одна из её основных служб или инфраструктур не пострадала.
Кампания (злоумышленника) против Cloudflare началась с разведки 9 августа, когда GRUB1 попыталась проверить потенциально украденный API-токен. Непосредственно утечка началась 12 августа в 22:14 по UTC, когда атакующий получил доступ, используя похищенные учетные данные интеграции Salesloft с IP-адреса 44.215.108.109. В последующие дни GRUB1 провела тщательную разведку среды Salesforce Cloudflare, изучая структуры данных и принципы работы системы поддержки. Финальная эксфильтрация данных произошла 17 августа, когда атакующий переключился на новую инфраструктуру (IP 208.68.36.90) и использовал Bulk API 2.0 от Salesforce для извлечения данных обращений всего за три минуты.
Примечательно, что злоумышленник попытался удалить следы, удалив задание API, но команда безопасности Cloudflare смогла восстановить полную хронологию атаки по оставшимся logs. Реакция Cloudflare была комплексной после уведомления об инциденте 23 августа. Компания немедленно активировала межфункциональную группу реагирования на инциденты и established четыре приоритетных направления работы: немедленное сдерживание угрозы, защита сторонних интеграций, обеспечение безопасности систем и анализ воздействия на клиентов.
Cloudflare взяла на себя ответственность за утечку, руководство компании признало: «Мы ответственны за выбор инструментов, которые используем для поддержки нашего бизнеса. Эта утечка подвела наших клиентов. За это мы приносим искренние извинения». Эксперты по безопасности рекомендуют всем организациям, использующим аналогичные сторонние интеграции, немедленно принять меры: отключить все подключения Salesloft от сред Salesforce, заменить учетные данные для всех сторонних приложений и интеграций, внедрить регулярное плановое обновление учетных данных, провести проверку данных обращений на предмет потенциально раскрытой чувствительной информации, внедрить принцип наименьших привилегий для всех сторонних подключений и развернуть усиленный мониторинг необычной активности по экспорту данных.
Инцидент служит напоминанием, что в современной связанной бизнес-среде организации лишь настолько безопасны, насколько безопасно их самое слабое стороннее интеграции. Как отметила Cloudflare, «нам необходимо оценивать каждый новый инструмент с тщательной проверкой», учитывая потенциал каскадного воздействия на безопасность всей клиентской базы. Cloudflare взяла на себя обязательство поделиться детальной разведкой о методах атаки GRUB1 с сообществом безопасности, чтобы помочь в защите от подобных кампаний в будущем.
