摘要：Cloudflare 近日确认，其客户支持数据在一次涉及 Salesforce 集成的供应链攻击中被泄露，但核心系统未受影响。攻击者利用与 Salesloft Drift 聊天机器人相关的 OAuth 令牌，非法访问了 Cloudflare 的 Salesfo

cloud flare

Cloudflare 近日确认，其客户支持数据在一次涉及 Salesforce 集成的供应链攻击中被泄露，但核心系统未受影响。攻击者利用与 Salesloft Drift 聊天机器人相关的 OAuth 令牌，非法访问了 Cloudflare 的 Salesforce 环境。Cloudflare 将这一威胁组织命名为 GRUB1。

被访问的数据

泄露的数据主要为 Salesforce 中的“case objects”，即客户支持工单，包含客户联系方式、主题及与 Cloudflare 的通信内容。虽然附件未被访问，但文本字段中有时包含日志、配置细节，甚至在排障过程中共享的令牌或凭据。Cloudflare 在被窃数据中发现 104 个有效 API 令牌，已立即进行轮换，并未发现异常活动。受影响客户已收到通知。

攻击过程

调查显示，攻击者在 2025 年 8 月在 Cloudflare 的 Salesforce 环境内活动近一周，先进行侦察，再通过 Salesforce Bulk API 导出数据。此次事件并非孤立案例，全球数百家使用 Salesforce 与 Salesloft Drift 集成的公司均受到影响。Cloudflare 警告称，窃取的数据可能被用于后续攻击，如凭据滥用或定向钓鱼。

受影响企业与事件范围

除 Cloudflare 外，包括 Palo Alto Networks、Zscaler、PagerDuty、TransUnion、Google、Allianz Life、Farmers Insurance、Workday、Pandora、Cisco、Chanel、Qantas 等多家公司均受到同类 Salesforce 泄露影响。

Cloudflare 的应对措施

在得知攻击后，Cloudflare 迅速切断受影响的集成，清除 Salesloft 软件和浏览器扩展，吊销 OAuth 令牌，并扩大第三方服务凭据轮换。公司还加强监控、更新凭据轮换政策，并在更严格控制下重新启用集成。Cloudflare 承认在工具选择上存在风险，并对客户表示歉意，强调需要加强第三方集成管理。

事件启示

该事件凸显了 SaaS 平台供应链攻击的潜在风险，特别是第三方工具和集成的安全管理。Cloudflare 的透明披露和迅速响应被业内专家认为是良好范例，为企业在供应链安全与事件响应方面提供了参考。

网罗圈内热点 专注网络安全

支持「安全圈」就点个三连吧！

来源：武信忠正