2025年8月23日,Cloudflare接到通知,确认自身及客户受到Salesloft Drift供应链攻击的波及。此次安全事件的核心源头在于攻击者成功入侵了Salesloft的系统,利用其与Salesforce平台的OAuth集成凭证,突破了包括Cloudflare在内的多家企业的Salesforce实例,导致大量客户支持数据被非法访问和窃取。该事故不仅揭示了第三方工具与企业核心系统集成时潜藏的巨大风险,也引发了业界对跨平台安全生态审查的深刻反思。Cloudflare使用Salesforce作为客户支持和内部案例管理的核心工具,而Salesloft Drift作为一款网站聊天机器人,其与Salesforce的集成被攻击者利用,进行了数据的批量外泄。泄露的数据主要为支持案例的文本内容,包括客户的联系方式及部分服务器配置等敏感信息,甚至可能包含访问令牌和密码等关键凭证。虽然Cloudflare官方强调其核心服务和基础架构未遭入侵,但泄露信息的敏感性使受影响客户面临潜在的安全威胁,尤其是那些在支持案例中直接分享了密钥或密码的用户。
此次事件背景复杂,源于一种被定性为GRUB1的高度先进威胁者实施的针对供应链第三方集成的攻击。GRUB1组织在初期对Cloudflare Salesforce环境进行了细致的侦察活动,精准掌握了环境规模、组织结构及API限制,在确保不触发报警的前提下执行了针对性信息探查。随后在8月17日,GRUB1通过Salesforce Bulk API完成了对支持案例数据的大规模提取,并迅速删除了相关操作日志以掩盖痕迹。事件发现与响应流程展现了Cloudflare多部门高效协作的应对能力。接到通知后,Cloudflare立即切断了受影响的Drift账号,撤销相关凭证,并全盘审查与Salesforce相关的第三方集成,实施了前所未有的凭证轮换措施,确保潜在后门被彻底封堵。调查团队利用定制的安全检测工具,对暴露的支持案例文本进行了深入扫描,确认了104个关键API令牌受到影响并进行预防性旋转,但尚未发现异常使用痕迹。
Cloudflare专门向所有受影响客户发出了详细告知,提供针对性建议,包括尽快更换泄露的凭证,强化账户安全设置。此次事件凸显出当前云端服务生态中,第三方应用和集成安全的薄弱环节。许多企业未能全面评估外部工具访问权限和数据范围,导致"一环失守,满盘皆输"的惨痛局面。供应链攻击作为近年来网络威胁的重灾区,其隐蔽性和破坏性远超传统单点攻击,已成为安全防护的重点难题。为此,Cloudflare在事件总结中提出了多项关键防范建议。企业应立即断开所有Salesloft集成连接,彻底移除相关插件和浏览器扩展,杜绝潜在持久性访问。
同时,强制执行所有第三方账户和API密钥的周期性轮换,避免因长期暴露带来的风险累积。对支持系统中暴露的敏感信息进行全面审查,及时清理危险内容,防止未来类似泄露事件。加强第三方权限管理和最小权限原则,限制应用只能访问必需范围,且避免对管理账号开放过多权限。增强实时监控能力,捕捉异常登录行为和数据导出操作,确保安全团队能快速响应潜在入侵。此外,加强组织内部针对第三方风险的培训和安全意识建设,推动跨部门协同合作。Security Operation Center(安全运营中心)应纳入更多设备和系统的日志监控,特别是针对第三方接入的详细审计。
技术层面引入零信任架构及多因素认证机制,降低凭证被攻破后的风险。此次Cloudflare事件也引发了行业对第三方安全治理的政策建议呼声,呼吁供应商提高安全透明度,定期开展安全审计,同时加快共享威胁情报,打造协同作战的安全生态环境。纵观此次事件时间线,GRUB1的侦查行为表现出极强的专业度和对企业内部流程的理解,他们精准把控访问信息量与时间窗,成功绕过了部分传统的安全检测机制。Cloudflare安全团队凭借多方合作及先进分析工具,最终还原了攻击路径,遏制了损害范围。此外,Cloudflare承诺在后续云服务运营中将对第三方工具引入更为严格的审批和监控流程,加大对供应链威胁的防范。同时将对GRUB1攻击手法展开更细致的研究,帮助社区强化防御策略,促进网络安全行业整体能力提升。
客户方面,应高度重视来自支持服务的敏感数据风险,避免在支持单等非加密渠道中传递重要密钥和账号信息。积极利用云服务平台提供的安全审计及工具,定时核查历史支持记录,识别意外泄露。此次事件亦提醒广大企业,网络安全已不再是单一企业责任,而是一场生态系统层面的攻防博弈。跨平台、跨供应链的攻防协作成为必然趋势。只有通过完善的供应链安全治理、透明的威胁共享和扎实的基础设施防护,才能有效应对日益复杂的攻击威胁。同时,企业需要构建应急响应的机制和经验,以快速定位、隔离和修复事件,减少业务冲击。
Cloudflare的这次回应表明,面对安全事件,主动、公开和详细的沟通对于重建用户信任至关重要。总结来看,Salesloft Drift的供应链攻击造成了Cloudflare部分客户支持数据的泄露,暴露了现代企业高度依赖第三方集成的安全盲点。事件虽未影响Cloudflare的核心服务运行,但对客户的敏感信息安全构成严峻挑战。Cloudflare的应急响应显示了成熟的安全体系和多专业团队协作,但更重要的是,此事敦促全行业重新审视和强化第三方集成的风险管理。云服务商、应用开发者与终端企业需携手建立更加安全、透明和可控的运行环境。展望未来,随着云生态系统日益复杂,类似供应链攻击将可能更频繁。
唯有持续增强对第三方风险的洞察力,完善安全策略和技术保障,提升整体安全韧性,才能有效抵御此类高级威胁,保障客户数据和业务的安全稳定发展。对此,Cloudflare正积极推动技术创新与威胁情报共享,携手全球安全社区,共筑数字信任防线。 。
