در گزارشی که منتشر شده گفته شد هکرها از توکنهای OAuth دزدیده شده از چتبات Drift AI در Salesloft برای ورود به حسابهای مرتبط با Salesforce استفاده کردند. اکنون، Cloudflare اعلام کرده است که بین ۱۲ تا ۱۷ اوت، دقیقاً تحت همان نوع حمله قرار گرفته و توصیه کرده که هر اطلاعاتی که با تیمهای پشتیبانی آن به اشتراک گذاشتهاید، باید به عنوان اطلاعات compromised تلقی شود. این بدان معناست که هرگونه لاگ، توکن یا رمزعبوری که در تیکتهای پشتیبانی به اشتراک گذاشتهاید، ممکن است در دست حملهکنندگان باشد.
بر اساس گفتههای Cloudflare، هیچیک از خدمات یا زیرساختهای آن تحت تأثیر قرار نگرفته و این شرکت بهطور مستقیم با تمام مشتریان تحت تأثیر قرار گرفته تماس گرفته است. درست مانند Palo Alto Networks، Cloudflare ادعا میکند که نقض امنیتی محدود به محیط Salesforce آن بوده و “دادههای اساسی تیکتهای پشتیبانی” و “اطلاعات تماس مشتری” را فاش کرده است.
با این حال، ممکن است در برخی موارد، تعاملات پشتیبانی شامل جزئیات حساس پیکربندی مانند توکنهای دسترسی باشد، به همین دلیل توصیه میشود که هرگونه اعتبارنامهای که از این طریق به اشتراک گذاشتهاید، بهسرعت تغییر دهید. Cloudflare همچنین اعلام کرده که پس از جستجوی دادههای compromised برای توکنها یا رمزعبور، “هیچ فعالیت مشکوکی” پیدا نکرده، اما از روی احتیاط ۱۰۴ توکن API Cloudflare را شناسایی و تغییر داده است.
در پست وبلاگی خود، Cloudflare رابطهاش با Salesforce را توضیح داد که از آن برای پیگیری مشتریان و مدیریت تعاملات پشتیبانی استفاده میکند. این شرکت از ادغام Salesloft Drift که Salesforce بهعنوان راهی برای ارتباط بازدیدکنندگان وبسایت ارائه میدهد، استفاده کرده است.
حملهکنندگان از این ارتباط برای ورود به “تیکتهای” Salesforce که به کارمندان Cloudflare اجازه میدهد با مشتریان ارتباط برقرار کنند، سوءاستفاده کردند. هکرها توانستند به عنوان تیکت، محتوای مکاتبه و اطلاعات تماس مشتریان مانند نام شرکت، آدرس ایمیل و شماره تلفن دسترسی پیدا کنند. این حمله فقط دادههای متنی را استخراج کرد و به پیوستهای فایل دسترسی نداشت.
Cloudflare به کاربران توصیه میکند که تمامی ارتباطات Salesloft را از محیط Salesforce خود قطع کرده و هر نرمافزار یا افزونه مرورگر مرتبط را حذف کنند. این شرکت همچنین توصیه میکند که اعتبارنامههای تمامی برنامههای شخص ثالث متصل به حساب Salesforce خود را تغییر داده و یک برنامه منظم برای تغییر کلیدهای API ایجاد کنند.
بررسی دادههای گذشته تیکتهای پشتیبانی برای شناسایی اطلاعات حساسی که ممکن است فاش شده باشد، ایده خوبی است. اگر شما مشتری Cloudflare هستید، میتوانید با مراجعه به تاریخچه تیکتهای پشتیبانی خود در داشبورد تحت بخش Support > Technical Support > My Activities، این کار را انجام دهید.