Cloudflare nieuwste slachtoffer in Salesforce-hack

Cloudflare heeft bevestigd dat het getroffen is in de lopende Salesforce supply chain-aanvallen, waarmee het zich voegt bij meer dan 700 bedrijven wereldwijd, waaronder Palo Alto Networks en Zscaler, die inbreuken hebben gemeld door gecompromitteerde third-party integraties.

De cloudgigant uit San Francisco liet weten dat aanvallers tussen 12 en 17 augustus toegang kregen tot zijn Salesforce-omgeving. Daarbij werden klantcontactgegevens en supportcase-data buitgemaakt, en in sommige gevallen ook gevoelige configuratiedetails zoals access tokens.

De inbraak werd uitgevoerd via gecompromitteerde SalesLoft/Drift-tokens, dezelfde methode die al in eerdere aanvallen werd gebruikt. Cloudflare publiceerde een volledige post-mortem met een gedetailleerde tijdlijn, Indicators of Compromise (IOCs) en herstelmaatregelen, en heeft alle getroffen klanten op de hoogte gebracht.

“Alle informatie die met Cloudflare in ons supportsysteem is gedeeld – inclusief logs, tokens of wachtwoorden – moet als gecompromitteerd worden beschouwd,” waarschuwde het bedrijf. Klanten wordt dringend geadviseerd om hun inloggegevens te roteren en hun SaaS-beveiliging te versterken.

Beveiligingsexperts prezen de openheid van Cloudflare. Cory Michal, CSO van AppOmni, noemde het “een hoog niveau van communicatie en herstel zoals organisaties dat zouden moeten doen na supply chain-compromises.”

De campagne wordt gelinkt aan de groep “Scattered LapSus$ Hunters” – een samenwerking van de beruchte hackers Shiny Hunters, Scattered Spider en LapSus$ – en trof eerder al grote merken als Coca-Cola, Cisco, Qantas, Adidas en TransUnion.

Cloudflare verwacht dat de aanvallers de gestolen inloggegevens in de toekomst zullen inzetten voor nieuwe inbraken en waarschuwt klanten alert te blijven.