Datalek bij Cloudflare via toeleverancier: klantgegevens en API-tokens mogelijk in gevaar
Cloudflare, een bedrijf op het gebied van content delivery networks en cybersecurity, heeft vandaag bekendgemaakt dat het slachtoffer is geworden van een datalek. De aanval vond plaats via een kwetsbaarheid bij een van zijn softwareleveranciers, Salesloft Drift. Hierdoor kregen onbevoegden toegang tot het Salesforce-systeem van Cloudflare, dat wordt gebruikt voor klantenondersteuning.
Het lek, dat tussen 12 en 17 augustus 2025 plaatsvond, leidde tot de exfiltratie van gegevens uit supportcases. Hoewel de meeste gestolen informatie bestaat uit contactgegevens van klanten en basisinformatie over supportvragen, kan de buitgemaakte data ook gevoelige informatie bevatten, zoals API-tokens en configuratiegegevens die klanten in de communicatie met Cloudflare-support hebben gedeeld.
De aanval en de gevolgen Het datalek is een gevolg van een zogeheten 'supply chain'-aanval. Een geavanceerde cybercriminele groep, die door Cloudflare is geclassificeerd als GRUB1, wist OAuth-gegevens te bemachtigen van de Salesforce-integratie van de Salesloft Drift-chatbot. Deze chatbot werd door Cloudflare gebruikt om bezoekers van de website direct contact te laten opnemen met het bedrijf. Door de gekaapte inloggegevens kon de aanvaller data uit de Salesforce-omgeving van Cloudflare stelen.
Volgens Cloudflare zijn niet alleen zij, maar ook honderden andere bedrijven die klant zijn bij Salesloft, getroffen door deze aanval. De gestolen informatie is naar verluidt bedoeld voor toekomstige, gerichte aanvallen op de getroffen organisaties en hun klanten.
Acties van Cloudflare en aanbevelingen
Direct na de ontdekking van de verdachte activiteit heeft het beveiligingsteam van Cloudflare de toegang van de aanvallers geblokkeerd en een onderzoek ingesteld. In de gestolen data vonden zij 104 Cloudflare API-tokens die door klanten waren gedeeld in supportcases. Hoewel er geen verdachte activiteit is waargenomen met deze tokens, zijn ze uit voorzorg allemaal ongeldig gemaakt. Alle klanten wiens gegevens zijn getroffen, zijn inmiddels rechtstreeks door Cloudflare op de hoogte gesteld.
Cloudflare benadrukt dat de inbreuk beperkt bleef tot het Salesforce-systeem en dat de eigen diensten en infrastructuur van het bedrijf niet zijn gecompromitteerd.
"We zijn verantwoordelijk voor de keuze van de tools die we gebruiken ter ondersteuning van onze bedrijfsvoering. Dit lek heeft onze klanten teleurgesteld. Daarvoor bieden wij onze oprechte excuses aan," aldus de verklaring van Cloudflare.
Het bedrijf roept alle klanten die via supportcases in het verleden mogelijk geheime informatie, logs, tokens of wachtwoorden met hen hebben gedeeld, dringend op om deze gegevens onmiddellijk te wijzigen. Cloudflare raadt organisaties ook aan hun eigen beveiligingsmaatregelen te herzien om zich te beschermen tegen vergelijkbare supply chain-aanvallen in de toekomst. Het volledige, gedetailleerde verslag van de aanval en de reactie van Cloudflare is te vinden op hun blog.
Meer over Cloud
Over Witold Kepinski
