Source: BleepingComputer (Sergiu Gatlan). Cloudflare révèle avoir été impacté par la série de compromissions Salesloft/Drift touchant des environnements Salesforce, avec exfiltration de données textuelles de son CRM de support entre le 12 et le 17 août 2025, après une phase de reconnaissance le 9 août.

Cloudflare indique que des attaquants ont accédé à une instance Salesforce utilisée pour la gestion des tickets clients et ont exfiltré uniquement le texte des objets de cas (pas les pièces jointes). Parmi les éléments sensibles potentiellement exposés figurent des informations de contact clients et des contenus de tickets pouvant inclure des clés, secrets, jetons ou mots de passe. L’entreprise a identifié 104 jetons API Cloudflare présents dans ces données et les a tous rotationnés avant la notification clients du 2 septembre, sans activité suspecte détectée à ce stade.

Données exfiltrées (texte uniquement) :

  • Objet du ticket Salesforce
  • Corps du ticket (pouvant contenir clés, secrets, etc., fournis par les clients)
  • Informations de contact client (nom d’entreprise, email et téléphone du demandeur, domaine, pays)

Cloudflare estime que l’objectif était de récolter des identifiants et informations clients pour de futures attaques ciblées, et souligne que des centaines d’organisations sont affectées par le compromis lié à Drift. En parallèle, Palo Alto Networks confirme un impact limité à son Salesforce CRM (données de support textuelles, pas d’effet sur produits/systèmes/services) et observe des recherches actives de secrets par les attaquants.

Contexte élargi : depuis le début de l’année, le groupe d’extorsion ShinyHunters mène des vols de données chez des clients Salesforce via du vishing pour faire lier des applications OAuth malveillantes, affectant notamment Google, Cisco, Qantas, Allianz Life, Farmers Insurance, Workday, Adidas et des maisons LVMH. Google n’a toutefois pas établi de lien concluant entre ces campagnes et les attaques supply chain Salesloft.

TTPs observés :

  • Attaque de la chaîne d’approvisionnement via Salesloft/Drift visant des environnements Salesforce
  • Exfiltration de contenus textuels de tickets de support Salesforce
  • Recherche de secrets et identifiants : jetons API, clés AWS AKIA, chaînes VPN/SSO, jetons Snowflake, mots-clés « secret », « password », « key »
  • Ingénierie sociale (vishing) pour lier des apps OAuth malveillantes (dans la vague plus large liée à ShinyHunters)

Type d’article: article de presse spécialisé visant à informer sur l’incident, son impact et le contexte de menace plus large.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/cloudflare-hit-by-data-breach-in-salesloft-drift-supply-chain-attack/