Anche Cloudflare violata nell’incidente Salesforce! I rischi del cloud colpiscono tutti

Redazione RHC : 3 Settembre 2025 13:22

Un’intrusione di dati è stata rilevata da Cloudflare, dove un aggressore esperto ha potuto accedere e quindi rubare i dati sensibili dei propri clienti da quella che era l’istanza Salesforce messa a disposizione proprio dalla società. La violazione faceva parte di un attacco più ampio alla supply chain che sfruttava una vulnerabilità nell’integrazione del chatbot Salesloft Drift, colpendo centinaia di organizzazioni in tutto il mondo.

E’ importante notare, che oltre CloudFlare, sono rimaste vittima di questo incidente alla supply chain anche:

• Palo Alto Networks : l’azienda di sicurezza informatica ha confermato l’esposizione di informazioni di contatto aziendali e dati di vendita interni dalla sua piattaforma CRM.
• Zscaler : l’azienda di sicurezza cloud ha segnalato che sono state effettuate violazioni delle informazioni dei clienti, tra cui nomi, recapiti e alcuni contenuti dei casi di supporto.
• Google : oltre a svolgere il ruolo di investigatore, Google ha confermato che un “numero molto limitato” di account Workspace è stato violato tramite token compromessi.

L’incidente che ha colpito Cloudflare, insieme a realtà di primo piano come Palo Alto Networks, Zscaler e persino Google, dimostra quanto un singolo punto di vulnerabilità in una piattaforma SaaS sul cloud possa generare effetti a catena devastanti. Un attacco mirato alla supply chain, come quello che ha sfruttato l’integrazione del chatbot Salesloft Drift, ha permesso all’attore della minaccia di ottenere accesso a dati sensibili gestiti da Salesforce, coinvolgendo centinaia di organizzazioni nel mondo. La portata dell’evento evidenzia come anche i leader della sicurezza informatica non siano immuni quando le loro attività si basano su infrastrutture esterne, che diventano bersagli privilegiati.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

In una comunicazione dettagliata, Cloudflare ha spiegato che l’autore della minaccia, che il suo team di intelligence ha denominato GRUB1, ha ottenuto l’accesso non autorizzato al suo ambiente Salesforce tra il 12 e il 17 agosto 2025.

Per gestire l’assistenza clienti e la gestione interna, la società si avvale di Salesforce. I dati sensibili sono stati sottratti dagli hacker proprio dai “casi” archiviati su Salesforce, nella maggior parte dei casi relativi a ticket di assistenza tecnica dei clienti. Tra le informazioni compromesse figurano quelle contenute nei campi di testo dei casi di supporto. Tali dati comprendono i dettagli di contatto dei clienti, il testo dell’oggetto e il corpo delle corrispondenze relative ai casi.

È stato evidenziato da Cloudflare che, anche se non è richiesta la condivisione di informazioni sensibili da parte dei clienti nei ticket di supporto, tutte le credenziali, le chiavi API, i registri o le password che sono stati eventualmente incollati nei campi di testo dai clienti dovrebbero essere considerati ormai compromessi. L’azienda ha riportato che non è stato effettuato alcun accesso agli allegati e nessun servizio Cloudflare o infrastruttura principale è stato violato a seguito di questo incidente.

L’indagine ha rivelato che l’attacco è iniziato con una ricognizione il 9 agosto, mentre la compromissione iniziale si è verificata il 12 agosto. L’autore della minaccia ha utilizzato le credenziali rubate dall’integrazione Salesloft Drift per accedere ed esplorare sistematicamente il tenant Salesforce di Cloudflare prima di esfiltrare i dati del caso di supporto il 17 agosto.

Questo episodio ci ricordano ancora una volta che il cloud, pur offrendo scalabilità, comodità e flessibilità operativa, porta con sé rischi che spesso non sono immediatamente visibili. La natura interconnessa delle piattaforme SaaS, unite alle numerose integrazioni di terze parti, aumenta esponenzialmente la superficie di attacco. In questo contesto, anche le procedure più rigorose di gestione della sicurezza interna rischiano di non bastare: un errore o una vulnerabilità in un singolo anello della catena può compromettere l’intero ecosistema digitale.

La lezione principale è che la fiducia cieca nel cloud non può sostituire una strategia di sicurezza multilivello. Le aziende devono adottare approcci di zero trust, monitoraggio continuo e pratiche di riduzione dei privilegi, valutando con attenzione ogni integrazione esterna. L’incidente di agosto 2025 ci mostra chiaramente che, nel mondo digitale, la resilienza dipende non solo dalla forza delle difese interne, ma dalla capacità di prevedere e contenere i rischi derivanti da terze parti: perché oggi, un singolo incidente SaaS può trasformarsi in una compromissione globale.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli