Cloudflare确认通过Salesloft Drift发生了与Salesforce相关的数据泄露，暴露了客户支持案例数据，但核心系统不受影响。

Cloudflare已确认，在Salesloft Drift供应链攻击中，客户支持数据遭到泄露。此次攻击滥用了数百家公司的Salesforce集成系统。虽然其核心系统和基础设施未受影响，但此次漏洞确实暴露了敏感的案例数据，凸显了第三方SaaS连接的风险。

Cloudflare解释说，攻击者利用连接到Salesloft Drift聊天机器人的被盗OAuth令牌，成功访问了其Salesforce环境。该集成功能允许网站访问者联系Cloudflare支持团队，但该公司将其命名为GRUB1，该组织利用该功能窃取数据。

泄露的信息包含与Salesforce相关的数据，包括包含支持工单的“案例对象”。这些记录通常包含客户联系方式、主题行以及Cloudflare与其客户之间的通信。

根据Cloudflare的博客文章，没有访问任何附件，但支持案例中的文本字段有时包括日志、配置详细信息，甚至故障排除期间共享的令牌或凭据。

Cloudflare的审查在被盗数据中发现了104个有效的API令牌。这些令牌已立即轮换，该公司表示没有发现任何可疑活动。可能受到影响的客户已收到直接通知。

Cloudflare共享的详细取证时间表显示，攻击者于2025年8月在其Salesforce环境中花费了近一周的时间进行侦察，然后通过Salesforce Bulk API窃取案件数据。

该公司指出，这并非孤立事件。全球数百家通过Salesloft Drift使用Salesforce的组织都受到了影响。Cloudflare警告称，攻击者可能会试图利用窃取的信息进行后续攻击活动，例如凭证滥用或有针对性的网络钓鱼。

今天早些时候，Palo Alto Networks、Zscaler和PagerDuty确认受到了与Salesforce相关的数据泄露事件的影响。上周，信用报告公司TransUnion也披露了一起与Salesforce相关的事件，导致440万客户数据泄露。

谷歌也承认受到了影响。其他受到此次攻击的公司还包括安联人寿和农民保险，以及google、Workday、Pandora、思科、香奈儿、澳洲航空等。

该公司在了解到攻击后迅速采取行动，切断了受损的集成，清除了所有Salesloft软件和浏览器扩展，撤销了OAuth令牌，并扩大了其他第三方服务的凭证轮换。

Cloudflare还扩大了监控规模，制定了新的凭证轮换政策，并开始在更严格的管控下系统性地重新引入集成。Cloudflare承认对其工具的选择负有责任，并向客户道歉，强调整个行业都需要加强对第三方连接的监管。

SaaS安全专家兼AppOmni首席安全官Cory Michal在评论Cloudflare的披露时表示：“Cloudflare对Salesloft/Drift事件的披露是网络安全报告透明度和问责制的绝佳典范，他们的博客不仅提供了清晰的技术细节，还公开承担第三方集成带来的风险的责任。”

Cory补充道：“通过致力于加强其SaaS环境和工具链的安全性，Cloudflare展示了其在事件响应方面的成熟度和领导力，为组织在供应链受损后如何沟通、补救和加强信任设定了高标准。”