Cloudflare sofre ataque colateral e expõe dados sensíveis de clientes
No dia 2 de setembro de 2025, a Cloudflare confirmou que foi vítima de um ataque colateral direcionado à plataforma de chat Salesloft Drift, que atende a diversas grandes empresas e está conectada diretamente ao Salesforce. Segundo a multinacional, o ataque permitiu que o grupo de ameaças identificado como GRUB1 acessasse informações sensíveis armazenadas em tickets de suporte da Cloudflare entre 12 e 17 de agosto.
A empresa garante que sua infraestrutura principal e serviços não foram comprometidos, mas o incidente resultou na exposição de dados como informações de contato, descrições de problemas técnicos e, potencialmente, tokens ou credenciais compartilhadas por clientes.
O ataque, que afetou não apenas a Cloudflare, teve como alvo várias organizações. A Salesloft revelou que os atacantes utilizaram credenciais OAuth do chatbot Drift para se infiltrar em instâncias de Salesforce, realizando um reconhecimento detalhado dos dados e posteriormente efetivando uma exfiltração em massa por meio da Salesforce Bulk API 2.0. Esse modus operandi é característico de ataques recentes à cadeia de suprimento SaaS, onde um único ponto de integração pode comprometer dados de múltiplas organizações.
O acesso do atacante limitou-se aos objetos “Case” no Salesforce, que incluem nome e contato do cliente, assunto e corpo do ticket e comunicações relacionadas ao problema. Entretanto, os riscos são elevados, pois clientes podem ter incluído, por descuido, tokens e senhas em seus relatos.
Em resposta à crise, a Cloudflare formou uma equipe de resposta a incidentes que englobou segurança, setor jurídico, produto e comunicação. As medidas adotadas incluíram a desconexão total do Drift/Salesloft, revogação de credenciais comprometidas e investigação forense para entender a profundidade do ataque.
Para outras organizações que utilizam o Salesforce ou plataformas SaaS, especialistas recomendam um plano estruturado em fases, que vai desde a contenção imediata até o fortalecimento das medidas de segurança em longo prazo.
Este incidente destaca a vulnerabilidade das integrações de terceiros, que podem se tornar pontos fracos da segurança empresarial. Embora o impacto da Cloudflare tenha sido limitado, a magnitude do ataque sugere que GRUB1 busca credenciais reutilizáveis para futuros ataques.
A Cloudflare aconselha seus clientes a monitorar dados expostos e a rotacionar imediatamente qualquer token ou credencial incluída em tickets de suporte. A segurança em integrações SaaS é mais crítica do que nunca, e empresas devem adotar medidas proativas para proteger suas informações sensíveis.
