Cloudflare confirma violação de dados em ataque à supply chain via Salesforce

A Cloudflare confirmou que, entre 12 e 17 de agosto de 2025, um agente de ameaça denominado GRUB1 obteve acesso não autorizado ao seu ambiente Salesforce, tendo comprometido dados de casos de suporte ao cliente. A violação faz parte de um ataque mais amplo à supply chain que explorou integrações de terceiros.

Segundo a Cloudflare, os dados exfiltrados foram limitados aos campos de texto dos casos de suporte, incluindo informações de contacto, linhas de assunto e corpo das mensagens. Nenhum anexo ou infraestrutura principal da empresa foi afetado.

A empresa sublinha que, embora não solicite o envio de informações confidenciais nos tickets (registo de um pedido, problema ou incidente reportado por um utilizador), quaisquer credenciais, chaves de API, logs ou senhas que os clientes tenham inserido devem ser consideradas comprometidas.

Como medida preventiva, a Cloudflare identificou 104 dos seus próprios tokens de API entre os dados roubados e procedeu à sua substituição, sem detetar atividade suspeita associada. Todos os clientes afetados foram notificados a partir de 2 de setembro de 2025.

A investigação revelou que o ataque teve início com atividades de reconhecimento em 9 de agosto, seguido pelo comprometimento das credenciais da integração Salesloft Drift a partir de 12 de agosto, culminando na exfiltração dos dados em 17 de agosto.

A vulnerabilidade foi oficialmente comunicada à Cloudflare pela Salesforce e pela Salesloft em 23 de agosto, desencadeando uma resposta completa de segurança, incluindo a desativação da integração comprometida e a rotação de credenciais em todos os serviços de terceiros ligados ao Salesforce.

Em comunicado, a Cloudflare assumiu a responsabilidade pelo incidente, pediu desculpa aos clientes e solicitou a alteração imediata de todas as credenciais partilhadas através do canal de suporte. A empresa destacou que o caso evidencia os riscos associados a integrações de terceiros no ecossistema SaaS.

De acordo com a Cyber Security Week, entre as vítimas confirmadas deste ataque à supply chain estão a Palo Alto Networks, que teve dados de contacto comercial e informações de vendas internas expostos; a Zscaler, que registou acesso a dados de clientes e conteúdo de casos de suporte; e a Google, com um número reduzido de contas do Workspace afetadas.

Especialistas em cibersegurança destacam que, apesar da resposta rápida da Cloudflare, a dependência de ferramentas externas e a partilha de informação sensível em canais de suporte continuam a ser pontos críticos para organizações que operam em ambientes de cloud e CRM.