上週,Cloudflare 接到通知,我們(以及我們的客戶)受到了 Salesloft Drift 外洩事件的影響。由於此次事件,Cloudflare 外部的人士取得了我們 Salesforce 系統的存取權限。該系統主要用於客戶支援與內部客戶案件管理,其中存有部分相關資料。這些資料大多為客戶聯絡資訊與基本的支援案件資料,但部分客戶支援互動內容可能會透露客戶的系統設定資訊,甚至可能包含存取認證之類的敏感資料。由於 Salesforce 支援案件中包含了與 Cloudflare 之間的支援工單內容,因此,任何客戶曾透過我們的支援系統與我們分享的資訊(包括記錄、權杖或密碼)都應視為已遭外洩。我們強烈建議您立即變更您曾透過此管道與我們分享的任何認證。
作為我們對此事件回應的一部分,我們自行搜尋了遭外洩的資料,以查找可能存在的權杖或密碼,並發現了 104 組 Cloudflare API 權杖。雖然目前尚未發現與這些權杖相關的可疑活動,但出於高度謹慎,我們已將這些權杖全部進行了輪換。所有在此次外洩事件中受到影響的客戶均已收到 Cloudflare 的直接通知。
此次入侵並未導致任何 Cloudflare 服務或基礎架構遭到入侵。
我們對於在業務營運中所選擇使用的工具負有責任。此次外洩事件讓我們的客戶失望了,對此,我們誠摯地道歉。本部落格的其餘部分將詳細說明我們針對此次事件所進行的調查,並提供完整的時間線與相關資訊。
上週,Cloudflare 發現我們的 Salesforce 系統中出現可疑活動,並得知我們與數百家其他企業已成為一名威脅行為者的攻擊目標,該行為者成功從我們的 Salesforce 執行個體中外洩了支援案件的文字欄位內容。我們的安全團隊立即展開調查,切斷了該威脅行為者的存取,並採取了一系列措施(下文將進行詳述)來強化我們的環境安全。我們撰寫此篇部落格文章,旨在詳細說明事件的經過、我們的應對方式,並協助我們的客戶及其他相關方瞭解如何防範類似事件。
Cloudflare 使用 Salesforce 來追蹤我們的客戶資訊以及他們如何使用我們的服務,同時也將其作為一個客戶支援工具,用來與客戶互動。在瞭解這次事件時,有一個重要的細節:該威脅行為者僅存取了 Salesforce 中的「案件」資料。這類案件可能是在 Cloudflare 的銷售與支援團隊成員需要互相留言、協作以服務客戶時所建立,也可能是客戶與 Cloudflare 支援團隊互動時所產生的。此外,Salesforce 與 Salesloft Drift 聊天機器人之間有整合,而 Cloudflare 使用了這項整合,使得造訪我們網站的任何使用者都能透過該聊天機器人與我們聯絡。
正如 Salesloft 所宣布的那樣,一名威脅行為者入侵了他們的系統。在這次入侵事件中,該威脅行為者取得了與 Salesloft Drift 聊天智慧體的 Salesforce 整合功能相關的 OAuth 認證,並借此從 Salesloft 客戶的 Salesforce 執行個體中外洩資料。我們的調查顯示,這是一起精心策劃的供應鏈攻擊,其目標是針對企業對企業 (B2B) 的第三方整合服務,全球有數百家使用 Salesloft 的企業受到影響。Cloudflare 的威脅情報與研究團隊 Cloudforce One 將這名高級威脅行為者歸類為 GRUB1。此外,Google 威脅情報團隊公開披露的資訊,也與我們在自身環境中觀察到的活動情況相符。
我們的調查顯示,該威脅行為者在 2025 年 8 月 9 日被發現進行初步偵查後,於 2025 年 8 月 12 日至 17 日期間,成功入侵並外洩了我們 Salesforce 系統中的資料。經過詳細分析後確認,此次資料外洩僅限於 Salesforce 中的「案件物件」,這些物件主要包含我們 Salesforce 系統中的客戶支援工單及其相關資料。這些案件物件中包含與支援案件相關的客戶聯絡資訊、案件主旨,以及案件通訊的內文,但不包括任何案件附件。Cloudflare 並不要求或期望客戶在支援案件中提供密碼、認證或 API 金鑰。然而,在某些疑難排解情境中,客戶可能會將金鑰、記錄或其他敏感資訊貼入案件文字欄位中。透過此管道所分享的任何資訊,現在都應視為已遭外洩。
我們認為,這起事件並非單一孤立事件,而是該威脅行為者有意蒐集認證與客戶資訊,以用於未來的攻擊行動。鑑於數百家組織機構因此次 Drift 攻擊事件受到影響,我們懷疑該威脅行為者將利用這些資訊,對受影響企業中的客戶發起具有針對性的後續攻擊。
這篇文章提供了攻擊的時間線,詳細說明了我們的應對措施,並提供安全建議,以幫助其他組織減輕類似威脅。
在本篇部落格文章中,所有日期與時間均為 UTC 時間。
當 Salesforce 與 Salesloft 於 2025 年 8 月 23 日通知我們,Drift 整合功能在多個組織(包括 Cloudflare)內遭到濫用時,我們立即啟動了全公司範圍的安全事件回應機制。我們動員了多個職能團隊,匯聚來自安全、IT、產品、法務、通訊傳播以及業務領導層的專家,統整於單一、集中的事件指揮架構之下。
我們設立了四個明確的優先工作流程,目的是保護我們的客戶和 Cloudflare:
立即遏制威脅:我們立即停用了遭入侵的 Drift 整合功能,藉此切斷該威脅行為者的所有存取途徑;同時進行了取證分析,以釐清此次安全事件的影响範圍,並徹底清除我們環境中的現存威脅。
保護我們的第三方生態系統:我們立即將所有第三方整合服務從 Salesforce 中斷連線,並為所有服務重新發行了金鑰,同時實施了一項新流程,將這些金鑰改為每週輪換一次。
保護我們更廣泛系統的完整性:我們將認證輪換措施擴展至所有第三方網際網路服務與帳戶,作為一項預防性措施,以防範攻擊者利用已外洩的資料來存取 Cloudflare 的其他系統。
客戶影響分析:我們分析了 Salesforce 中的案件物件資料,以判斷客戶是否可能受到影響,並確保他們能及時且準確地獲知潛在的資料外洩情況。
我們的取證調查重建了該威脅行為者在 2025 年 8 月 9 日至 8 月 17 日期間針對 Cloudflare 所採取的一系列行動。以下是該威脅行為者活動的時間順序摘要,其中包括在初始入侵之前所進行的初步偵查行為。
11:51,威脅行為者 GRUB1 嘗試向 Salesforce API 驗證一組由 Cloudflare 向客戶所核發的 API 權杖。該行為者將其 User-Agent(用戶端識別資訊)設為 Trufflehog(一套廣泛使用的開放原始碼掃描工具),並向 Salesforce 的 API 端點 client/v4/user/tokens/verify 發送了一則驗證請求。該請求回傳了 404 Not Found 錯誤,證實該權杖無效。目前尚不清楚這組 API 權杖的來源,它可能是 GRUB1 從其他來源取得的,包括在入侵 Cloudflare 之前可能已遭其入侵的其他 Drift 客戶。
2025 年 8 月 12 日:對 Cloudflare 的初始入侵
22:14,威脅行為者 GRUB1 利用從 Salesloft 整合功能中所竊取的認證,成功取得了 Cloudflare 的 Salesforce 系統存取權限。GRUB1 從 IP 位址 44[.]215[.]108[.]109 登入系統,並對 API 端點 /services/data/v58.0/sobjects/ 發出了一則 GET 請求。此操作似乎是用來列舉我們 Salesforce 環境中的所有資料物件,讓該威脅行為者得以對儲存在該系統中的資料有一個概略性的高層次瞭解。
在最初外洩事件發生後的隔天,威脅行為者 GRUB1 從同一個 IP 位址 44[.]215[.]108[.]109 發起了後續攻擊。從 19:33 開始,該威脅行為者從 Salesforce 的「案件物件」中竊取了客戶資料。他們首先重新執行了一次物件列舉,以確認資料結構,隨即透過 API 端點 /sobjects/Case/describe/ 取得了案件物件的結構描述。接著,該威脅行為者又發起了一項廣泛的 Salesforce 查詢,用以列舉 Salesforce 案件物件中的各個欄位。
2025 年 8 月 14 日:瞭解我們的 Salesforce 環境
威脅行為者 GRUB1 花費了數小時的時間,從 IP 位址 44[.]215[.]108[.]109 對 Cloudflare 的 Salesforce 系統進行了全面的偵查。看起來,他們的目的是要深入瞭解我們的系統環境。在數小時期間,他們執行了一系列具有針對性的查詢:
00:17 - 他們透過計算帳戶、聯絡人和使用者來衡量租用戶的規模;
04:34 - 透過查詢 CaseTeamMemberHistory 分析案例工作流程;以及
11:09 - 透過對「組織」物件進行特徵識別,我。
該威脅行為者又進行了一些其他查詢,完成了其偵查活動,這些查詢旨在瞭解我們的客戶支援系統是如何運作的——包括團隊成員如何處理不同類型的支援案件、案件的指派與升級方式,以及我們的整體支援流程是如何運行的。此外,他們還查詢了 /limits/ 端點,以掌握該 API 的運作限制。透過執行這些查詢,GRUB1 得以瞭解他們所獲得的存取層級、案件物件的資料規模,以及他們在 Cloudflare 的 Salesforce 環境中為了避免被偵測到所需遵守的具體 API 限制條件。
在 2025 年 8 月 14 日的偵查活動之後,我們有將近 48 小時未偵測到威脅行為者 GRUB1 的任何流量或成功登入行為。
他們於 2025 年 8 月 16 日再次出現。19:26,威脅行為者 GRUB1 從 IP 位址 44[.]215[.]108[.]109 重新登入 Cloudflare 的 Salesforce 系統;隨後在 19:28,執行了最後一次查詢:SELECT COUNT() FROM Case。此動作是最終的「演練」,目的是確認他們即將竊取的資料集的確切大小,標誌著偵查階段的正式結束,並為接下來的主要攻擊行動鋪路。
威脅行為者 GRUB1 在 11:11:23 從 IP 位址 208[.]68[.]36[.]90 登入系統,藉由切換至新的基礎架構,正式啟動了資料外洩階段。在對案件物件的大小進行最後一次確認後,他們於 11:11:56 啟動了一項 Salesforce Bulk API 2.0 作業。短短三分多鐘內,他們便成功從我們的 Salesforce 系統中,外洩了一組包含支援案件文字內容的資料集——但不包括任何附件或檔案。隨後,在 11:15:42,GRUB1 嘗試透過刪除該 API 作業來掩蓋自己的行蹤。雖然此舉隱匿了主要的作案證據,但我們的團隊仍能從殘留的記錄中重建整個攻擊過程。
我們在 2025 年 8 月 17 日之後沒有觀察到這個威脅執行者的進一步活動。
2025 年 8 月 20 日:供應商在接獲通知之前的行動
Salesloft 已在其所有客戶環境中撤銷了 Drift 與 Salesforce 之間的整合連線,並在其官網上發布了相關公告。當時,Cloudflare 尚未收到任何通知,我們也沒有任何跡象顯示該供應商的行動可能與我們的系統環境有關。
2025 年 8 月 23 日:Salesforce 和 Salesloft 向 Cloudflare 發出通知
在接獲 Salesforce 和 Salesloft 關於異常 Drift 相關活動的通知後,我們開始對此事件做出回應。我們立即採取了供應商建議的遏制措施,並與他們合作以收集更多情報資訊。
2025 年 8 月 25 日:Cloudflare 開始回應活動
截至 8 月 25 日,我們已接獲有關此事件的更多情報,並將應對措施從最初供應商建議的遏制步驟,升級為更全面的行動。我們隨即展開了自主的全面調查與復原工作。
我們的首要任務是從源頭上切斷 GRUB1 的存取途徑。我們停用了 Drift 的使用者帳戶,撤銷其用戶端 ID 與金鑰,並徹底清除 Cloudflare 系統中所有與 Salesloft 相關的軟體與瀏覽器擴充功能。這項全面清除的舉措,有效降低了威脅行為者重新利用已外洩的權杖、透過過期工作階段重新取得存取權,或藉由軟體擴充功能維持長期駐留的風險。
此外,我們將安全審查範圍擴大至所有與 Salesforce 環境連接的第三方服務,並採取更新認證的預防措施,以防止威脅行為者進行任何潛在的橫向移動。
由於我們將 Salesforce 作為管理客戶支援資料的主要工具,因此存在一種風險:客戶可能在提交客服請求時,不慎提供了金鑰、密碼或其他敏感資料。我們必須釐清攻擊者現在掌握了哪些敏感資料。
我們立即著手確認這些資料是否可能被用來危害我們客戶的帳戶、系統或基礎架構。我們檢視了威脅行為者所取得的資料,查看其中是否包含外洩的認證,因為客服案件中包含自由填寫的文字欄位,客戶可能會在其中向我們的支援團隊提交 Cloudflare 的 API 權杖、金鑰或記錄等資訊。為此,我們的團隊開發了自訂的掃描工具,運用 regex、熵與模式比對技術,以大規模偵測可能屬於 Cloudflare 的機密資訊。
我們的調查確認,此次資料外洩嚴格限定於 Salesforce「案件物件」中的自由填寫文字內容,並未包含任何附件或檔案。Salesforce 的案件物件是由銷售與支援團隊用來內部溝通客戶支援問題,以及直接與客戶進行交流的工具。因此,這些案件物件中所包含的資料僅限於純文字內容,具體包括:
這一結論已透過對整合設定、驗證活動、端點遙測資料及網路記錄進行全面審查而得到驗證。
2025 年 8 月 26 至 29 日:擴大應對規模並採取主動措施
我們已經對主要的 Salesforce 與 Salesloft 帳戶認證證進行了輪換,接下來的步驟是終止並安全地重新建立我們的第三方整合服務。我們開始有系統地重新啟用那些已終止的服務,保每個服務都設定了新的金鑰,並受到更嚴格的安全控制。
與此同時,我們的團隊持續分析已被外洩的資料。根據分析結果,我們對潛在的資料暴露情況進行了分級與驗證,並秉持「凡是可能外洩的資料,都必須進行檢視」的原則進行排查。這使我們能夠在發現風險的第一時間,立即採取直接行動——更新了由 Cloudflare 平台所核發的 API 權杖,總共處理了 104 組 API 權杖。截至目前,我們尚未發現與這些權杖相關的任何可疑活動。
根據 Cloudflare 的詳細分析結果,我們已透過電子郵件以及儀表板中的橫幅通知,向所有受到影響的客戶正式發出通知,內容包含本次事件的相關資訊以及建議的後續處理步驟。
本次事件凸顯了加強保護 SaaS 應用程式與其他第三方整合服務的極端重要性。在此次攻擊中,數百家受影響企業的外洩資料可能被用來發動進一步的攻擊。我們強烈呼籲所有企業採取以下安全措施:
斷開 Salesloft 及其應用程式的連線:立即從您的 Salesforce 環境中斷開所有 Salesloft 連線,並卸載任何相關軟體或瀏覽器擴充功能。
輪換認證:請針對所有連接至您 Salesforce 系統的第三方應用程式與整合服務,重新設定其帳戶認證。若您曾經在提交給 Cloudflare 的客服案件中提供過任何認證,也請一併更新這些認證。根據本次攻擊的範圍與意圖,我們也建議您對環境中的所有第三方認證進行更新,並重新設定任何您曾向其他廠商提交客服案件時可能包含在內的認證。
實施頻繁的認證輪換:為整合中使用的所有 API 金鑰和其他機密資訊建立定期輪換排程,以縮短潛在資料外洩的風險窗口。
檢閱支援案件資料:與第三方提供者一起檢閱所有客戶支援案件資料,以識別可能暴露了哪些敏感性資訊。尋找包含認證、API 金鑰、設定詳細資料或客戶可能已分享的其他敏感資料的案件。特別是 Cloudflare 客戶:您可以透過 Cloudflare 儀表板中的「支援 > 技術支援 > 我的活動」路徑,存取您的支援案件歷程紀錄。您可利用篩選功能查找特定案件,或使用「下載案件」功能,以便進行全面檢閱。
進行取證:檢查所有第三方整合的存取記錄和權限,並檢視與 Drift 事件相關的公開資料,視情況對您的系統環境進行安全檢查。
實施最低權限:請稽核所有第三方應用程式,確保它們僅擁有執行其功能所需的最低存取權限(即最低權限原則),並確保管理員帳戶不用於供應商。此外,針對所有第三方及企業對企業 (B2B) 的連線,請實施嚴格的控管措施,例如限制可存取的 IP 位址,以及綁定使用者工作階段。
強化監控與控管措施:部署加強版監控機制,以偵測諸如大量資料輸出或從不熟悉地點登入等異常行為。雖然要取得第三方與第三方之間的記錄可能較為困難,但這些記錄資訊對您的安全運營團隊而言,仍是不可或缺的。
以下是我們從 GRUB1 身上看到的入侵指標 (IOC)。我們將其發佈出來,以便其他組織,尤其是那些可能受到 Salesloft 外洩影響的組織,可以搜尋記錄以確認相同的威脅行為者並未存取其系統或第三方。
指標 | 類型 | 描述 |
|---|
208[.]68[.]36[.]90 | IPV4 | DigitalOcean 型基礎架構 |
44[.]215[.]108[.]109 | IPV4 | AWS 型基礎結構 |
TruffleHog | 使用者代理程式 | 開放原始碼機密資訊掃描工具 |
Salesforce-Multi-Org-Fetcher/1.0 | 使用者代理程式 | 與惡意工具相關的 User-Agent 字串 |
Salesforce-CLI/1.0 | 使用者代理程式 | Salesforce 命令列介面 (CLI) |
python-requests/2.32.4 | 使用者代理程式 | 使用者代理程式可能顯示有自訂指令碼正在執行 |
Python/3.11 aiohttp/3.12.15 | 使用者代理程式 | 使用者代理程式可能允許多個 API 呼叫並行進行 |
我們必須為自己所選擇使用的工具負責;而當這些工具遭到高階威脅行為者入侵時,我們也必須承擔後果。我們的團隊在收到通知後迅速做出回應,經調查確認,此次事件的影響嚴格限定於 Salesforce「案件物件」中的資料,並未波及其他 Cloudflare 系統或基礎架構。
儘管如此,我們認為任何資料的外洩都是不可接受的。我們的客戶將他們的資料、基礎架構與安全責任託付給 Cloudflare。相對地,我們有時也會仰賴第三方工具,而這些工具所能存取的資料範圍,必須受到嚴格控管與審慎界定。對此,我們負有責任。我們讓客戶失望了,對此我們誠摯地道歉。
隨著第三方工具與各個產業的內部企業資料日益緊密整合,我們必須以嚴謹的態度審慎評估每一個新引入的工具。本次事件透過單一整合點,影響了數百家企業,凸顯出當今技術生態系中相互關聯的風險。我們致力於開發新的功能,協助我們與客戶未來能更有效地防禦此類攻擊——敬請期待本月底 Cloudflare 生日週期間的相關公告。
我們也致力於與整個安全社群分享威脅情報與研究結果。在未來幾週內,我們的 Cloudforce One 團隊將發布一篇深入的部落格文章,分析 GRUB1 的攻擊手法,以協助整體安全社群防禦類似的攻擊行動。
下表詳細呈現了 GRUB1 在本次事件期間所執行的各項具體行動,並依時間順序逐一羅列。
日期/時間 (UTC) | 事件描述 |
|---|
2025-08-09 11:51:13 | 我們觀察到 GRUB1 利用了 Trufflehog,嘗試針對 Cloudflare 的客戶租用戶驗證一個權杖:client/v4/user/tokens/verify,並收到了來自 44[.]215[.]108[.]109 的 404 錯誤回應 |
2025-08-12 22:14:08 | GRUB1 從 44[.]215[.]108[.]109 登入 Cloudflare 的 Salesforce 租用戶 |
2025-08-12 22:14:09 | GRUB1 發出了一則 GET 請求,以取得 Cloudflare 的 Salesforce 租用戶中的物件清單:/services/data/v58.0/sobjects/ |
2025-08-13 19:33:02 | GRUB1 從 44[.]215[.]108[.]109 登入 Cloudflare 的 Salesforce 租用戶 |
2025-08-13 19:33:03 | GRUB1 發出了一則 GET 請求,以取得 Cloudflare 的 Salesforce 租用戶中的物件清單:/services/data/v58.0/sobjects/ |
2025-08-13 19:33:07 和 19:33:09 | GRUB1 發出了一則 GET 請求,以取得 Cloudflare 的 Salesforce 租用戶中「案件」物件的中繼資料資訊:/services/data/v58.0/sobjects/Case/describe/ |
2025-08-13 19:33:11 | 首次觀察到 GRUB1 執行了一則 Salesforce 查詢:來自 44[.]215[.]108[.]109,請求對「案件」物件進行一次範圍廣泛的查詢。此查詢產生了最早且資料量較大的回應之一,該行為符合透過大量記錄擷取進行偵查的模式 |
2025-08-14 0:17:40 | GRUB1 列出可用的物件,並計算「帳戶」、「連絡人」和「使用者」物件的數量。 |
2025-08-14 00:17:47 | GRUB1 查詢了 Cloudflare 之 Salesforce 租用戶中的 Account 表格:在 Cloudflare 的 Salesforce 租用戶上執行 “SELECT COUNT() FROM Account” 查詢 |
2025-08-14 00:17:51 | GRUB1 查詢了 Cloudflare 之 Salesforce 租用戶中的 Contact 表格:在 Cloudflare 的 Salesforce 租用戶上執行 “SELECT COUNT() FROM Contact” 查詢 |
2025-08-14 00:18:00 | GRUB1 查詢了 Cloudflare 之 Salesforce 租用戶中的 User 表格:在 Cloudflare 的 Salesforce 租用戶上執行 “SELECT COUNT() FROM User” 查詢 |
2025-08-14 04:34:39 | GRUB1 查詢了 Cloudflare 之 Salesforce 租用戶中的「CaseTeamMemberHistory」:“SELECT Id, IsDeleted, Name, CreatedDate, CreatedById, LastModifiedDate, LastModifiedById, SystemModstamp, LastViewedDate, LastReferencedDate, Case__c FROM CaseTeamMemberHistory__c LIMIT 5000” |
2025-08-14 11:09:14 | GRUB1 查詢了 Cloudflare 之 Salesforce 租用戶中的 Organization 表格:“SELECT Id, Name, OrganizationType, InstanceName, IsSandbox FROM Organization LIMIT 1” |
2025-08-14 11:09:21 | GRUB1 查詢 Cloudflare 之 Salesforce 租用戶中的 User 表格:“SELECT Id, Username, Email, FirstName, LastName, Name, Title, CompanyName, Department, Division, Phone, MobilePhone, IsActive, LastLoginDate, CreatedDate, LastModifiedDate, TimeZoneSidKey, LocaleSidKey, LanguageLocaleKey, EmailEncodingKey FROM User WHERE IsActive = :x ORDER BY LastLoginDate DESC NULLS LAST LIMIT 20” |
2025-08-14 11:09:22 | GRUB1 在 Cloudflare 之 Salesforce 租用戶中的 LimitSnapshot 上傳送了 GET 請求:/services/data/v58.0/limits/ |
2025-08-16 19:26:37 | GRUB1 從 44[.]215[.]108[.]109 登入 Cloudflare 的 Salesforce 租用戶 |
2025-08-16 19:28:08 | GRUB1 查詢了 Cloudflare 之 Salesforce 租用戶中的 Cases 表格:SELECT Count() FROM Case |
2025-08-17 11:11:23 | GRUB1 從 208[.]68[.]36[.]90 登入到 Cloudflare 的 Salesforce 租用戶 |
2025-08-17 11:11:55 | GRUB1 查詢了 Cloudflare 之 Salesforce 租用戶中的 Case 表格:SELECT Count() FROM Case |
2025-08-17 11:11:56 至 11:15:18 | GRUB1 從 208[.]68[.]36[.]90 使用 Salesforce Bulk API 2.0,執行了一項工作,以外洩 Cases 物件 |
2025-08-17 11:15:42 | GRUB1 從 208[.]68[.]36[.]90 使用 Salesforce Bulk API 2.0,刪除了用於外洩 Cases 物件的最近執行工作 |