Cloudflare bevestigt impact Salesloft Drift-datalek op klanten

In dit artikel:

Cloudflare bevestigt dat het is getroffen door het datalek bij Salesloft Drift: een externe partij kreeg toegang tot de Salesforce-omgeving die Cloudflare gebruikt voor klantondersteuning en intern casemanagement. De aanvallers haalden tekstvelden uit supportcases op — voornamelijk contactgegevens en basisinformatie over tickets, maar mogelijk ook configuratiegegevens, toegangstokens of andere vertrouwelijke gegevens die klanten in ticketvelden plakken. Cloudflare adviseert om alle via support gedeelde inloggegevens als gecompromitteerd te beschouwen en waar nodig wachtwoorden te wijzigen.

Uit intern onderzoek bleek dat 104 API-tokens van klanten zijn buitgemaakt; hoewel er geen sporen van misbruik zijn gevonden, zijn deze tokens preventief ingetrokken en vervangen. Cloudflare zelf meldt dat haar dienstverlening en infrastructuur niet zijn aangetast. De toegang was mogelijk door buitgemaakte OAuth-gegevens gekoppeld aan de Salesloft Drift-chatbotintegratie met Salesforce, waarmee data uit meerdere Salesloft-klantenexemplaren kon worden geëxfiltreerd.

Cloudforce One, het threat-intelligence-team van Cloudflare, kwalificeert het als een geavanceerde supply-chain-aanval gericht op derde-partijintegraties. Volgens hen had de groep (door Cloudflare aangeduid als GRUB1) tussen 12 en 17 augustus 2025 toegang na verkenning op 9 augustus. Salesforce en Salesloft informeerden Cloudflare op 23 augustus; Cloudflare sloot integraties, verving geheimen en nam verdere beveiligingsmaatregelen. Klanten werden op 2 september geïnformeerd. Het bedrijf waarschuwt dat gestolen klantgegevens kunnen worden gebruikt voor vervolggerichte aanvallen op getroffen organisaties en hun klanten.