Cloudflare heeft van een onbekend aantal klanten gegevens gelekt, waaronder tokens. De data werd uit de Salesforce-omgeving van het internetbedrijf gestolen. Salesforce is een veelgebruikte leverancier van Customer Relationship Management (CRM) software. Cloudlfare zegt dat het Salesforce gebruikt om te zien wie klanten zijn en hoe die de diensten van het bedrijf gebruiken. Daarnaast wordt het als supporttool ingezet om klanten te ondersteunen.

Cloudflare had de Salesforce-omgeving gekoppeld met de chatbot Drift van softwarebedrijf Salesloft. Informatie verzameld via Drift kan vervolgens in Salesforce beschikbaar worden gemaakt. Criminelen wisten bij Salesloft in te breken en de tokens te stelen die worden gebruikt voor de koppeling tussen Drift en de omgevingen van klanten. Met de gestolen tokens kon zo ook worden ingebroken op de Salesforce-omgeving van Cloudflare.

De aanvaller maakte volgens Cloudflare tussen 12 en 17 augustus data uit de Salesforce-omgeving buit. De meeste informatie bestaat uit contactgegevens van klanten en informatie over support aan klanten. Een deel van de supportgegevens kan gevoelige informatie bevatten, bijvoorbeeld informatie over configuraties en access tokens, aldus Cloudflare. Het internetbedrijf deed onderzoek naar het datalek en ontdekte dat de aanvaller 104 Cloudflare API tokens had buitgemaakt.

Cloudflare stelt dat klanten alle gegevens die ze via het supportsysteem hebben gedeeld, waaronder logbestanden, tokens en wachtwoorden, als gecompromitteerd moeten beschouwen. Alle met Cloudflare gedeelde inloggegevens moeten dan ook worden gewijzigd, adviseert het internetbedrijf. Het staat vast dat in ieder geval het onderwerp van supportverzoeken, de inhoud van het supportverzoek, waaronder door de klant verstrekte informatie, en contactgegevens, zoals bedrijfsnaam, e-mailadres en telefoonnummer, zijn buitgemaakt.

"We denken dat dit incident geen losstaande gebeurtenis is, maar dat de aanvaller inloggegevens en klantinformatie voor toekomstige aanvallen wilde verzamelen. Gegeven dat honderden organisaties via de Drift-aanval zijn getroffen, denken we dat de aanvaller deze informatie voor gerichte aanvallen zal gebruiken tegen klanten van de getroffen organisaties", waarschuwt Cloudflare. Het bedrijft zegt alle getroffen klanten te hebben ingelicht. Om hoeveel organisaties het gaat is niet bekendgemaakt.

Google waarschuwde eind augustus dat de aanvallers via de Drift-aanval grote hoeveelheden data uit Salesforce-omgevingen hebben buitgemaakt. Eerder lieten ook securitybedrijven Zscaler en Palo Alto Networks weten dat bij de aanval klantgegevens uit hun Salesforce-omgevingen zijn gestolen.