Cloudflare confirma breach relacionado a Salesforce e Salesloft

São Paulo — InkDesign News — Cloudflare confirmou uma violação de dados vinculada ao Salesforce por meio do Salesloft Drift, revelando detalhes de casos de suporte ao cliente em um ataque de cadeia de suprimentos que ocorreu em agosto de 2025.

Incidente e vulnerabilidade

O ataque se aproveitou de tokens OAuth roubados, que estavam conectados ao chatbot Salesloft Drift, permitindo que grupos de ameaças, identificados como GRUB1, acessassem o ambiente Salesforce da Cloudflare. Essa conexão integrada facilita a comunicação entre visitantes dos sites e o suporte da empresa. Durante o ataque, os invasores passaram cerca de uma semana realizando reconhecimento e exfiltrando dados de casos de suporte através da API Bulk do Salesforce.

Impacto e resposta

A violação resultou na exposição de dados sensíveis, incluindo “objetos de caso” que contêm bilhetes de suporte, informações de contato de clientes, linhas de assunto e correspondências entre a Cloudflare e seus clientes. Embora as informações não incluíssem anexos, os campos de texto em casos de suporte podiam conter logs, detalhes de configuração e até mesmo tokens ou credenciais compartilhadas durante a solução de problemas. Cloudflare identificou 104 tokens API válidos no conjunto de dados roubados, que foram rotacionados imediatamente, garantindo que nenhuma atividade suspeita estivesse associada a eles.

A Cloudflare “admitiu responsabilidade por sua escolha de ferramentas e pediu desculpas aos clientes, ressaltando que um controle mais rigoroso sobre as conexões de terceiros é necessário em toda a indústria.”
(“Cloudflare admitted responsibility for its choice of tools and apologized to customers, stressing that stronger oversight of third-party connections is needed industry-wide.”)

— Comentário de especialista em segurança, Cory Michal

Mitigações recomendadas

Após a descoberta do ataque, a empresa desconectou a integração comprometida, removeu todo o software e extensões do Salesloft, revogou tokens OAuth e expandiu as rotações de credenciais entre outros serviços de terceiros. A Cloudflare também intensificou a monitoramento, implementou novas políticas de rotação de credenciais e sistematicamente re-integrou conexões sob um controle mais rígido.

A aumento do controle sobre as integrações e o compromisso de fortalecer a segurança do seu ambiente SaaS demonstra tanto maturidade quanto liderança na resposta a incidentes, estabelecendo um padrão alto de como organizações devem se comunicar, remediar e reforçar a confiança após compromissos de cadeia de suprimentos.”
(“The increased control over integrations and the commitment to strengthen the security of its SaaS environment demonstrates both maturity and leadership in incident response, setting a high standard for how organizations should communicate, remediate, and reinforce trust after supply chain compromises.”)

— Cory Michal, Especialista em Segurança e CSO da AppOmni

Os eventos recentes revelam vulnerabilidades significativas nas integrações de SaaS e destacam a necessidade de adoção de práticas de segurança mais rigorosas. As organizações devem estar atentas ao potencial de abuso dos dados expostos e implementar medidas adicionais para proteger os sistemas e dados sensíveis.

Fonte: (Hack Read – Segurança Cibernética)