Cloudflare ha confirmado una violación de datos donde accionó un sofisticado actor de amenaza y robó los datos de los clientes de la instancia de Salesforce de la compañía.
La violación fue parte de un ataque de cadena de suministro más amplio que explotó una vulnerabilidad en la integración de chatbot de deriva de SalesLoft, que afecta a cientos de organizaciones a nivel mundial.
En una divulgación detallada, Cloudflare explicó que el actor de amenaza, que su equipo de inteligencia ha llamado GRUB1, obtuvo acceso no autorizado a su entorno de Salesforce entre el 12 de agosto y el 17 de agosto de 2025.
La Compañía utiliza Salesforce para la atención al cliente y la gestión de casos internos. Los piratas informáticos exfilaron con éxito los datos de Salesforce, que son principalmente boletos de atención al cliente.
La información comprometida se limitó a los campos de texto dentro de estos casos de soporte. Estos datos incluyen información de contacto del cliente, líneas de asunto del caso y el cuerpo de la correspondencia.
Marco de la nube enfatizado que si bien no solicitan a los clientes que compartan información confidencial en boletos de soporte, cualquier credencial, claves API, registros o contraseñas que los clientes pueden haber pegado en los campos de texto ahora deben considerarse comprometidos.
No se accedió a los casos, y no se violaron los servicios de CloudFlare ni la infraestructura central como resultado de este incidente.
Como parte de su respuesta, Cloudflare realizó una búsqueda a través de los datos robados y descubrió 104 de sus propios tokens API. Si bien no se asoció ninguna actividad sospechosa, estos tokens han sido rotados como precaución. Cloudflare ha notificado directamente a todos los clientes cuyos datos fueron comprometidos al 2 de septiembre de 2025.
La investigación reveló que el ataque comenzó con el reconocimiento el 9 de agosto, con el compromiso inicial el 12 de agosto. El actor de amenaza utilizó las credenciales robadas de la integración de la deriva de SalesLoft para acceder y explorar sistemáticamente al inquilino de Salesforce de Cloudflare antes de exfiltrar los datos del caso de apoyo el 17 de agosto.
Cloudflare fue notificado oficialmente de la vulnerabilidad por Salesforce y SalesLoft el 23 de agosto, momento en el cual lanzó una respuesta de incidentes de seguridad a gran escala.
Los esfuerzos de remediación de la compañía incluyeron deshabilitar inmediatamente la integración de deriva comprometida, las credenciales rotativas para todos los servicios de terceros conectados a Salesforce y analizar los datos robados para identificar el impacto del cliente.
En una declaración, Cloudflare se responsabilizó por el incidente, diciendo: “Somos responsables de la elección de las herramientas que utilizamos en apoyo de nuestro negocio. Esta violación ha decepcionado a nuestros clientes.
Por eso, nos disculpamos sinceramente “. La compañía insta a todos los clientes a rotar cualquier credencial que puedan haber compartido a través del canal de soporte como una cuestión de urgencia.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
