CloudFlare, Salesforce’a bağlı bir veri ihlalini Salesloft Drift ile onaylar ve müşteri destek vaka verilerini ortaya çıkarır, ancak çekirdek sistemleri etkilenmez.
Cloudflare, müşteri destek verilerinin yüzlerce şirkette Salesforce entegrasyonlarını kötüye kullanan Salesloft Drift tedarik zinciri saldırısında ortaya çıktığını doğruladı. Temel sistemleri ve altyapısı etkilenmese de, ihlal, üçüncü taraf SaaS bağlantılarının risklerini vurgulayarak hassas vaka verilerini ortaya çıkardı.
Cloudflare, saldırganların Salesloft Drift Chatbot’a bağlı çalıntı OAuth tokenlerini kullandıktan sonra Salesforce ortamına erişim sağladığını açıkladı. Web sitesi ziyaretçilerinin Cloudflare desteğine ulaşmasına izin veren entegrasyon, veri çalmak için şirketin Grub1 adını verdiği bir tehdit grubu tarafından istismar edildi.
Neler Erişildi
Uzaklaştırılmış bilgiler, destek biletleri içeren “vaka nesneleri” dahil olmak üzere Salesforce ile ilgili veriler içerir. Bu kayıtlar genellikle müşteri iletişim bilgileri, konu satırları ve Cloudflare ile müşterileri arasındaki yazışmalara sahiptir.
Cloudflare’in blog yayınına göre, ekleme erişilmedi, ancak destek durumlarındaki metin alanlarına bazen günlükleri, yapılandırma detaylarını ve hatta sorun giderme sırasında paylaşılan jetonlar veya kimlik bilgileri içeriyordu.
Cloudflare’in incelemesi, çalınan verilerde 104 geçerli API jetonu buldu. Bunlar derhal döndürüldü ve şirket kendilerine şüpheli bir faaliyet bağlantılı olmadığını söyledi. Olası maruziyeti olan müşteriler doğrudan bilgilendirildi.
Daha büyük bir kampanya
CloudFlare tarafından paylaşılan ayrıntılı bir adli zaman çizelgesi, saldırganların Ağustos 2025’te Salesforce ortamında yaklaşık bir hafta geçirdiğini ve Salesforce Toplu API üzerinden vaka verilerini ortaya çıkarmadan önce keşif yaptıklarını gösteriyor.
Şirket, bunun izole bir olay olmadığını belirtti. Salesloft Drift aracılığıyla Salesforce’u kullanan yüzlerce kuruluş etkilendi ve Cloudflare, saldırganların kimlik bilgisi kötüye kullanımı veya hedefli kimlik avı gibi takip kampanyaları için çalınan bilgileri kullanmaya çalışabileceği konusunda uyardı.
Bugün erken saatlerde Palo Alto Networks, Zscaler ve Pagerduty, Salesforce bağlantılı veri ihlallerinden etkilendiklerini doğruladılar. Geçen hafta, kredi raporlama firması TransUnion, 4.4 milyon müşterinin verilerini ortaya çıkaran Salesforce ile ilgili bir olayı da açıkladı.
Google da etkilendiğini kabul etti. Aynı saldırı dalgasında yakalanan diğer şirketler arasında Google, Workday, Pandora, Cisco, Chanel, Qantas ve daha fazlası gibi diğerleriyle birlikte Allianz Life and Farmers Insurance bulunmaktadır.
Cloudflare’nin yanıtı
Şirket, ödün verilen entegrasyonu keserek, tüm Salesloft yazılımlarını ve tarayıcı uzantılarını temizleyerek, OAuth jetonlarını iptal ederek ve diğer üçüncü taraf hizmetlerinde kimlik bilgisi rotasyonlarını genişleterek saldırıyı öğrendikten sonra hızla hareket etti.
Cloudflare ayrıca izlemeyi ölçeklendirdi, yeni kimlik bilgisi rotasyon politikaları oluşturdu ve daha katı kontroller altında sistematik olarak yeniden desteklemeye başladı. Cloudflare, araç seçimi için sorumluluk kabul etti ve müşterilerden özür diledi ve üçüncü taraf bağlantılarının daha güçlü gözetimin endüstri çapında gerekli olduğunu vurguladı.
Cloudflare’nin açıklaması, SaaS güvenlik uzmanı ve CSO’nun Appomni’de açıklanması hakkında yorum yapmak, “Cloudflare’nin Salesloft/Drift olayını açıklaması, siber güvenlik raporlarında şeffaflık ve hesap verebilirliğin mükemmel bir örneği olarak öne çıkıyor ve bloglar sadece net teknik ayrıntı sağlamakla kalmıyor, aynı zamanda Appomni’de açıklamada, üçüncü taraf entegrasyonların ortaya koyduğu risklerin sorumluluğunu açıkça kabul ediyor” dedi.
Cory, “Cloudflare, SaaS ortamlarını ve araç zinciri güvenliğini güçlendirmeyi taahhüt ederek, olay tepkisinde hem olgunluk hem de liderlik gösterdi, kuruluşların tedarik zinciri uzlaşmaları sonrasında güveni nasıl iletişim kurması, düzeltmesi ve güçlendirmesi gerektiği konusunda yüksek bir çubuk oluşturdu” dedi.