Cloudflare, sofistike bir tehdit aktörünün eriştiği ve müşteri verilerini şirketin Salesforce örneğinden çaldığı bir veri ihlalini doğruladı.
İhlal, Salesloft Drift Chatbot entegrasyonundaki bir güvenlik açığından yararlanan ve küresel olarak yüzlerce kuruluşu etkileyen daha geniş bir tedarik zinciri saldırısının bir parçasıydı.
Ayrıntılı bir açıklamada Cloudflare, istihbarat ekibinin Grub1 adını verdiği tehdit oyuncunun 12 Ağustos ve 17 Ağustos 2025 arasında Salesforce ortamına yetkisiz erişim kazandığını açıkladı.
Şirket, müşteri desteği ve iç vaka yönetimi için Salesforce’u kullanır. Bilgisayar korsanları, öncelikle müşteri destek biletleri olan Salesforce “vakaları” ndan verileri başarıyla açıkladı.
Uzaklaşan bilgiler, bu destek durumlarında metin alanlarıyla sınırlıydı. Bu veriler müşteri iletişim bilgilerini, vaka konu satırlarını ve yazışmaların gövdesini içerir.
Cloudflare, müşterilerden destek biletlerinde hassas bilgileri paylaşmalarını istemeseler de, müşterilerin metin alanlarına yapıştırabileceği herhangi bir kimlik bilgileri, API anahtarları, günlükleri veya şifrelerin artık tehlikeye atılmalıdır.
Vakalara hiçbir ek erişilmemiştir ve bu olay sonucunda hiçbir bulutflare hizmeti veya çekirdek altyapısı ihlal edilmemiştir.
Cloudflare, yanıtının bir parçası olarak çalınan verilerden bir arama yaptı ve kendi API jetonlarının 104’ünü keşfetti. Onlarla şüpheli bir aktivite ilişkili olmasa da, bu jetonlar bir önlem olarak döndürülmüştür. Verileri tehlikeye atılan tüm müşteriler, 2 Eylül 2025 itibariyle doğrudan Cloudflare tarafından bilgilendirilmiştir.
Soruşturma, saldırının 9 Ağustos’ta keşifle başladığını ve ilk uzlaşmanın 12 Ağustos’ta meydana geldiğini ortaya koydu. Tehdit oyuncusu, 17 Ağustos’ta destek vaka verilerini yaymadan önce Cloudflare’nin Salesforce kiracını erişim ve sistematik olarak keşfetmek için Salesloft Drift entegrasyonundan çalınan kimlik bilgilerini kullandı.
Cloudflare, 23 Ağustos’ta Salesforce ve Salesloft tarafından güvenlik açığı hakkında resmi olarak bilgilendirildi ve bu noktada tam ölçekli bir güvenlik olayı yanıtı başlattı.
Şirketin iyileştirme çabaları, tehlikeye atılan sürüklenme entegrasyonunun hemen devre dışı bırakılmasını, Salesforce’a bağlı tüm üçüncü taraf hizmetler için döndürülen kimlik bilgilerini ve müşteri etkisini tanımlamak için çalınan verilerin analiz edilmesini içeriyordu.
Cloudflare yaptığı açıklamada, “İşimizi desteklemek için kullandığımız araçların seçiminden sorumluyuz. Bu ihlal müşterilerimizi hayal kırıklığına uğrattı.
Bunun için içtenlikle özür diliyoruz. ” Şirket, tüm müşterileri bir aciliyet meselesi olarak destek kanalı üzerinden paylaşmış olabilecekleri kimlik bilgilerini döndürmeye çağırıyor.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.