Cloudflare berichtet über Folgen der Salesloft-Drift-Sicherheitsverletzung

Cloudflare hat eine schwerwiegende Datenpanne bestätigt, die auf einen gezielten Angriff auf die Lieferkette zurückgeht. Betroffen war die Salesforce-Integration mit Salesloft Drift. Zwischen dem 12. und 17. August 2025 kam es dadurch zur Offenlegung von Kundensupport-Fall-Daten sowie möglicherweise sensiblen Anmeldedaten, die über Support-Kanäle weitergegeben wurden.

Nach Unternehmensangaben wurde Cloudflare vergangene Woche über die Sicherheitsverletzung informiert. Unbefugte erhielten Zugriff auf die Salesforce-Instanz des Unternehmens, die für Kundensupport und Fallverwaltung genutzt wird. Dabei gelangten sie an Kundenkontaktdaten und grundlegende Support-Fall-Informationen. Einzelne Interaktionen könnten zudem Konfigurationsdetails und vertrauliche Daten wie Zugriffstoken enthalten. Cloudflare warnt, dass sämtliche über das Support-System übermittelten Informationen – darunter Protokolle, Tokens oder Passwörter – als kompromittiert betrachtet werden sollten. Kunden wird dringend empfohlen, entsprechende Anmeldedaten zu ändern.

Im Rahmen der Untersuchung durchsuchte Cloudflare die kompromittierten Daten selbst und entdeckte 104 API-Tokens. Verdächtige Aktivitäten wurden nicht festgestellt, die Tokens jedoch vorsorglich ausgetauscht. Betroffene Kunden seien direkt informiert worden.

Cloudflare betont, dass weder die eigenen Dienste noch die Infrastruktur durch den Angriff beeinträchtigt wurden. Man übernehme jedoch Verantwortung für die Auswahl der eingesetzten Tools und entschuldige sich bei den Kunden für die entstandenen Risiken.

Das Unternehmen kündigte an, in einem ausführlichen Bericht weitere Details zum Ablauf und zur internen Untersuchung des Vorfalls offenzulegen.

Cloudflare über den Salesloft-Drift-Verstoß

Cloudflare hat bestätigt, Ziel eines Angriffs geworden zu sein, bei dem Daten aus der Salesforce-Instanz des Unternehmens abgeflossen sind. Laut Cloudflare begann der Vorfall mit verdächtigen Aktivitäten, die vergangene Woche entdeckt wurden. Dem Angreifer sei es gelungen, Textfelder aus Supportfällen zu exfiltrieren. Das Sicherheitsteam leitete daraufhin eine Untersuchung ein, sperrte den Zugriff und ergriff weitere Schutzmaßnahmen.

Salesforce wird von Cloudflare genutzt, um Kundenkontakte und Supportfälle zu verwalten. Dabei werden Fälle sowohl bei interner Kommunikation zwischen Support- und Vertriebsteams als auch bei direkter Interaktion mit Kunden erstellt. Die betroffene Salesforce-Instanz war mit dem Chatbot Salesloft Drift verbunden, über den Besucher der Website Kontakt aufnehmen konnten.

Salesloft teilte mit, dass Angreifer in ihre Systeme eingedrungen seien und dabei OAuth-Anmeldedaten erlangt hätten, die mit der Salesforce-Integration des Drift-Chat-Agents verknüpft waren. Über diese konnten Daten aus Salesforce-Instanzen von Salesloft-Kunden exfiltriert werden. Nach Angaben von Cloudflare handelt es sich um einen komplexen Supply-Chain-Angriff, der weltweit Hunderte Unternehmen getroffen habe. Das interne Bedrohungsteam Cloudforce One identifizierte den Angreifer als „GRUB1“. Erkenntnisse der Google Threat Intelligence Group stützten diese Beobachtungen.

Die Untersuchung ergab, dass der Angreifer ab dem 9. August 2025 erste Erkundungen durchführte und zwischen dem 12. und 17. August Daten abfließen ließ. Betroffen waren ausschließlich Salesforce-Fallobjekte, die Kundensupport-Tickets mit Kontaktinformationen, Betreffzeilen und Textkorrespondenzen enthalten. Anhänge seien nicht betroffen gewesen. Cloudflare betonte, dass Kunden üblicherweise keine Geheimnisse oder Zugangsdaten in Supportfällen weitergeben müssen, räumte jedoch ein, dass dies bei Fehlerbehebungen vorkommen könne. Solche Informationen sollten nun als kompromittiert gelten.

Nach Einschätzung von Cloudflare zielte der Angriff nicht allein auf den Vorfall selbst, sondern auf die Sammlung von Anmeldedaten und Kundeninformationen für mögliche spätere Attacken. Da zahlreiche Organisationen betroffen seien, gehe man von einer gezielten Vorbereitung weiterer Angriffe aus.

Cloudflare kündigte an, den Vorfall in einer detaillierten Zeitleiste sowie mit Handlungsempfehlungen aufzubereiten, um anderen Organisationen bei der Abwehr ähnlicher Bedrohungen zu helfen.

Cloudflare zu Reaktion und Abhilfemaßnahmen

Nachdem Salesforce und Salesloft am 23. August 2025 über den Missbrauch der Drift-Integration informiert hatten, leitete Cloudflare sofort eine umfassende Sicherheitsreaktion ein. Unter einer zentralen Vorfallstruktur arbeiteten Expertinnen und Experten aus Sicherheit, IT, Produktentwicklung, Recht, Kommunikation und Unternehmensführung zusammen.

Cloudflare setzte dabei vier Prioritäten:

• Eindämmung der Bedrohung: Sperrung des Angreiferzugriffs durch Deaktivierung der Drift-Integration, forensische Analyse und Entfernung der aktiven Bedrohung.

• Absicherung von Drittanbieter-Integrationen: Trennung sämtlicher Salesforce-Integrationen, Ausgabe neuer Geheimnisse und Einführung eines wöchentlichen Rotationsprozesses.

• Schutz der Gesamtsysteme: Rotation von Anmeldedaten auch für Internetdienste und Drittanbieter-Konten, um eine Ausweitung des Angriffs zu verhindern.

• Analyse möglicher Auswirkungen auf Kunden: Prüfung der Salesforce-Falldaten, um Betroffene frühzeitig zu informieren.

Zeitlicher Ablauf des Angriffs

Die forensische Untersuchung ergab folgende Chronologie:

• 9. August 2025: Erste Erkundungsversuche durch den Angreifer „GRUB1“ mittels API-Token-Validierung. Das Token erwies sich als ungültig.

• 12. August: GRUB1 verschafft sich mit gestohlenen Salesloft-Zugangsdaten Zugriff auf die Salesforce-Instanz von Cloudflare und listet Objekte auf.

• 13. August: Der Angreifer stiehlt erste Kundendaten, beschreibt die Struktur von Fallobjekten und ruft entsprechende Felder ab.

• 14. August: Mehrstündige Analyse des Salesforce-Mandanten, darunter Zählungen von Konten, Abfragen von Workflows und API-Grenzen. Ziel war es, die Funktionsweise des Cloudflare-Supportsystems zu verstehen.

• 16. August: Nach einer Pause von rund 48 Stunden prüft GRUB1 erneut die Größe der Fallobjekte.

• 17. August: Umstellung auf neue Infrastruktur. In wenigen Minuten exfiltriert der Angreifer Textdaten aus Support-Fällen – ohne Anhänge – und löscht anschließend den API-Job, um Spuren zu verwischen. Weitere Aktivitäten wurden nicht beobachtet.

• 20. August: Salesloft widerruft Drift-Verbindungen für alle Kunden und veröffentlicht eine Mitteilung, ohne Cloudflare direkt zu benachrichtigen.

• 23. August: Salesforce und Salesloft informieren Cloudflare über die Vorgänge. Das Unternehmen setzt die empfohlenen Maßnahmen um.

• 25. August: Cloudflare erweitert die Reaktion, deaktiviert das Drift-Konto, widerruft Geheimnisse und entfernt Salesloft-Software vollständig. Zudem beginnt eine Sicherheitsüberprüfung aller Drittanbieter-Dienste und die Rotation von Anmeldedaten.

• 26.–29. August: Schrittweise Wiederaufnahme sicherer Integrationen. Parallel dazu Analyse der exfiltrierten Daten. Insgesamt wurden 104 API-Token rotiert, ohne dass verdächtige Aktivitäten festgestellt wurden.

• 2. September: Offizielle Benachrichtigung aller betroffenen Kunden per E-Mail und über Dashboard-Meldungen mit Hinweisen zu empfohlenen Maßnahmen.

Cloudflare bestätigte, dass die Offenlegung ausschließlich Freitext in Salesforce-Fällen betraf, darunter Betreffzeilen, Korrespondenzen und Kundenkontaktinformationen. Anhänge oder Dateien seien nicht kompromittiert worden.

Empfehlungen für alle Unternehmen

Dieser Vorfall unterstreicht die dringende Notwendigkeit einer erhöhten Wachsamkeit bei der Sicherung von SaaS-Anwendungen und anderen Integrationen von Drittanbietern. Die Daten, die bei diesem Angriff von Hunderten von Unternehmen kompromittiert wurden, könnten für weitere Angriffe genutzt werden. Allen Unternehmen wird dringend empfohlen, die folgenden Sicherheitsmaßnahmen zu ergreifen:

• Trennen Sie Salesloft und seine Anwendungen: Trennen Sie sofort alle Salesloft-Verbindungen von Ihrer Salesforce-Umgebung und deinstallieren Sie alle zugehörigen Softwareprogramme oder Browser-Erweiterungen.
• Wechseln Sie die Anmeldedaten: Setzen Sie die Anmeldedaten für alle Anwendungen und Integrationen von Drittanbietern zurück, die mit Ihrer Salesforce-Instanz verbunden sind. Wechseln Sie alle Anmeldedaten, die zuvor in einem Supportfall an Cloudflare weitergegeben wurden. Aufgrund des Umfangs und der Absicht dieses Angriffs empfehlen wir außerdem, alle Anmeldedaten von Drittanbietern in Ihrer Umgebung sowie alle Anmeldedaten, die möglicherweise in einem Supportfall mit einem anderen Anbieter angegeben wurden, zu wechseln.
• Implementieren Sie eine regelmäßige Rotation der Anmeldedaten: Legen Sie einen regelmäßigen Rotationsplan für alle API-Schlüssel und anderen Geheimnisse fest, die in Ihren Integrationen verwendet werden, um das Risiko einer Offenlegung zu verringern.
• Überprüfen Sie die Support-Fall-Daten: Überprüfen Sie alle Kundensupport-Fall-Daten mit Ihren Drittanbietern, um festzustellen, welche sensiblen Informationen möglicherweise offengelegt wurden. Suchen Sie nach Fällen, die Anmeldedaten, API-Schlüssel, Konfigurationsdetails oder andere sensible Daten enthalten, die Kunden möglicherweise weitergegeben haben. Speziell für Cloudflare-Kunden: Sie können über das Cloudflare-Dashboard unter „Support“ > „Technischer Support“ > „Meine Aktivitäten“ auf Ihre Support-Fallhistorie zugreifen, wo Sie Fälle filtern oder die Funktion „Fälle herunterladen“ verwenden können, um eine umfassende Überprüfung durchzuführen.
• Führen Sie eine forensische Untersuchung durch: Überprüfen Sie die Zugriffsprotokolle und Berechtigungen für alle Integrationen von Drittanbietern, überprüfen Sie öffentliche Materialien im Zusammenhang mit dem Drift-Vorfall und führen Sie gegebenenfalls eine Sicherheitsüberprüfung Ihrer Umgebung durch.
• Minimale Berechtigungen durchsetzen: Überprüfen Sie alle Anwendungen von Drittanbietern, um sicherzustellen, dass sie mit den für ihre Funktion erforderlichen Mindestzugriffsrechten (minimale Berechtigungen) betrieben werden, und stellen Sie sicher, dass Administratorkonten nicht für Anbieter verwendet werden. Setzen Sie außerdem strenge Kontrollen wie IP-Adressbeschränkungen und Sitzungsbindung für alle Verbindungen zu Drittanbietern und Business-to-Business-Verbindungen (B2B) durch.
• Verbessern Sie die Überwachung und Kontrollen: Setzen Sie eine verbesserte Überwachung ein, um Anomalien wie große Datenexporte oder Anmeldungen von unbekannten Standorten zu erkennen. Obwohl es schwierig sein kann, Protokolle von Drittanbietern zu erfassen, ist es unerlässlich, dass diese Protokolle Teil Ihrer Sicherheitsmaßnahmen sind.

Indikatoren für Kompromittierung

Nachfolgend finden Sie die Indikatoren für Kompromittierung (IOCs), die wir bei GRUB1 festgestellt haben. Wir veröffentlichen sie, damit andere Unternehmen, insbesondere solche, die möglicherweise von der Salesloft-Sicherheitsverletzung betroffen sind, ihre Protokolle durchsuchen können, um sicherzustellen, dass derselbe Angreifer nicht auf ihre Systeme oder die von Drittanbietern zugegriffen hat.

Indicator	Type	Description
208[.]68[.]36[.]90	IPV4	DigitalOcean based infrastructure
44[.]215[.]108[.]109	IPV4	AWS based infrastructure
TruffleHog	User Agent	Open source Secret Scanning tool
Salesforce-Multi-Org-Fetcher/1.0	User Agent	User-Agent string linked to malicious tooling
Salesforce-CLI/1.0	User Agent	Salesforce Command Line Interface (CLI),
python-requests/2.32.4	User Agent	User agent may indicate custom scripting
Python/3.11 aiohttp/3.12.15	User Agent	User agent which may allow many API calls in parallel

Cloudflare zieht Fazit

Cloudflare betont nach der Sicherheitsverletzung seine Verantwortung für die Auswahl eingesetzter Tools. Die Untersuchung habe ergeben, dass ausschließlich Daten in Salesforce-Fallobjekten betroffen waren; andere Systeme oder Infrastrukturen seien nicht kompromittiert worden.

Das Unternehmen bezeichnet jede Kompromittierung von Kundendaten als inakzeptabel und entschuldigt sich für den Vorfall. Drittanbieter-Tools müssten künftig noch strenger geprüft und überwacht werden. Der Angriff, der Hunderte Organisationen über einen einzigen Integrationspunkt traf, habe die Risiken vernetzter Systeme deutlich gemacht.

Cloudflare kündigte an, neue Funktionen zum Schutz vor solchen Angriffen zu entwickeln und während der anstehenden Geburtstagswoche vorzustellen. Zudem will das Team Cloudforce One in den kommenden Wochen eine detaillierte Analyse des Angreifers „GRUB1“ veröffentlichen, um die Sicherheitsgemeinschaft bei der Abwehr ähnlicher Bedrohungen zu unterstützen.

Das passt auch dazu

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky