Redazione RHC : 3 Settembre 2025 13:22
Un’intrusione di dati è stata rilevata da Cloudflare, dove un aggressore esperto ha potuto accedere e quindi rubare i dati sensibili dei propri clienti da quella che era l’istanza Salesforce messa a disposizione proprio dalla società. La violazione faceva parte di un attacco più ampio alla supply chain che sfruttava una vulnerabilità nell’integrazione del chatbot Salesloft Drift, colpendo centinaia di organizzazioni in tutto il mondo.
E’ importante notare, che oltre CloudFlare, sono rimaste vittima di questo incidente alla supply chain anche:
L’incidente che ha colpito Cloudflare, insieme a realtà di primo piano come Palo Alto Networks, Zscaler e persino Google, dimostra quanto un singolo punto di vulnerabilità in una piattaforma SaaS sul cloud possa generare effetti a catena devastanti. Un attacco mirato alla supply chain, come quello che ha sfruttato l’integrazione del chatbot Salesloft Drift, ha permesso all’attore della minaccia di ottenere accesso a dati sensibili gestiti da Salesforce, coinvolgendo centinaia di organizzazioni nel mondo. La portata dell’evento evidenzia come anche i leader della sicurezza informatica non siano immuni quando le loro attività si basano su infrastrutture esterne, che diventano bersagli privilegiati.
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AIVuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
In una comunicazione dettagliata, Cloudflare ha spiegato che l’autore della minaccia, che il suo team di intelligence ha denominato GRUB1, ha ottenuto l’accesso non autorizzato al suo ambiente Salesforce tra il 12 e il 17 agosto 2025.
Per gestire l’assistenza clienti e la gestione interna, la società si avvale di Salesforce. I dati sensibili sono stati sottratti dagli hacker proprio dai “casi” archiviati su Salesforce, nella maggior parte dei casi relativi a ticket di assistenza tecnica dei clienti. Tra le informazioni compromesse figurano quelle contenute nei campi di testo dei casi di supporto. Tali dati comprendono i dettagli di contatto dei clienti, il testo dell’oggetto e il corpo delle corrispondenze relative ai casi.
È stato evidenziato da Cloudflare che, anche se non è richiesta la condivisione di informazioni sensibili da parte dei clienti nei ticket di supporto, tutte le credenziali, le chiavi API, i registri o le password che sono stati eventualmente incollati nei campi di testo dai clienti dovrebbero essere considerati ormai compromessi. L’azienda ha riportato che non è stato effettuato alcun accesso agli allegati e nessun servizio Cloudflare o infrastruttura principale è stato violato a seguito di questo incidente.
L’indagine ha rivelato che l’attacco è iniziato con una ricognizione il 9 agosto, mentre la compromissione iniziale si è verificata il 12 agosto. L’autore della minaccia ha utilizzato le credenziali rubate dall’integrazione Salesloft Drift per accedere ed esplorare sistematicamente il tenant Salesforce di Cloudflare prima di esfiltrare i dati del caso di supporto il 17 agosto.
Questo episodio ci ricordano ancora una volta che il cloud, pur offrendo scalabilità, comodità e flessibilità operativa, porta con sé rischi che spesso non sono immediatamente visibili. La natura interconnessa delle piattaforme SaaS, unite alle numerose integrazioni di terze parti, aumenta esponenzialmente la superficie di attacco. In questo contesto, anche le procedure più rigorose di gestione della sicurezza interna rischiano di non bastare: un errore o una vulnerabilità in un singolo anello della catena può compromettere l’intero ecosistema digitale.
La lezione principale è che la fiducia cieca nel cloud non può sostituire una strategia di sicurezza multilivello. Le aziende devono adottare approcci di zero trust, monitoraggio continuo e pratiche di riduzione dei privilegi, valutando con attenzione ogni integrazione esterna. L’incidente di agosto 2025 ci mostra chiaramente che, nel mondo digitale, la resilienza dipende non solo dalla forza delle difese interne, ma dalla capacità di prevedere e contenere i rischi derivanti da terze parti: perché oggi, un singolo incidente SaaS può trasformarsi in una compromissione globale.
RedazioneIl Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...
Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L�...
Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing. L’aggiornamento...
Il 20 settembre 2025 un cyberattacco ha colpito tre tra i principali scali europei Londra Heathrow, Bruxelles e Berlino. I sistemi digitali che governano il check-in e la gestione dei bagagli sono sta...
Nel contesto di un’attività sempre più criminale, Darktrace ha scoperto una nuova campagna che utilizza la botnet ShadowV2. I ricercatori hanno rilevato attività dannose il 24 giugno 2025, quando...
