Anche Cloudflare violata nell’incidente Salesforce! I rischi del cloud colpiscono tutti

Un’intrusione di dati è stata rilevata da Cloudflare, dove un aggressore esperto ha potuto accedere e quindi rubare i dati sensibili dei propri clienti da quella che era l’istanza Salesforce messa a disposizione proprio dalla società. La violazione faceva parte di un attacco più ampio alla supply chain che sfruttava una vulnerabilità nell’integrazione del chatbot Salesloft Drift, colpendo centinaia di organizzazioni in tutto il mondo.

E’ importante notare, che oltre CloudFlare, sono rimaste vittima di questo incidente alla supply chain anche:

• Palo Alto Networks : l’azienda di sicurezza informatica ha confermato l’esposizione di informazioni di contatto aziendali e dati di vendita interni dalla sua piattaforma CRM.
• Zscaler : l’azienda di sicurezza cloud ha segnalato che sono state effettuate violazioni delle informazioni dei clienti, tra cui nomi, recapiti e alcuni contenuti dei casi di supporto.
• Google : oltre a svolgere il ruolo di investigatore, Google ha confermato che un “numero molto limitato” di account Workspace è stato violato tramite token compromessi.

L’incidente che ha colpito Cloudflare, insieme a realtà di primo piano come Palo Alto Networks, Zscaler e persino Google, dimostra quanto un singolo punto di vulnerabilità in una piattaforma SaaS sul cloud possa generare effetti a catena devastanti. Un attacco mirato alla supply chain, come quello che ha sfruttato l’integrazione del chatbot Salesloft Drift, ha permesso all’attore della minaccia di ottenere accesso a dati sensibili gestiti da Salesforce, coinvolgendo centinaia di organizzazioni nel mondo. La portata dell’evento evidenzia come anche i leader della sicurezza informatica non siano immuni quando le loro attività si basano su infrastrutture esterne, che diventano bersagli privilegiati.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

In una comunicazione dettagliata, Cloudflare ha spiegato che l’autore della minaccia, che il suo team di intelligence ha denominato GRUB1, ha ottenuto l’accesso non autorizzato al suo ambiente Salesforce tra il 12 e il 17 agosto 2025.

Per gestire l’assistenza clienti e la gestione interna, la società si avvale di Salesforce. I dati sensibili sono stati sottratti dagli hacker proprio dai “casi” archiviati su Salesforce, nella maggior parte dei casi relativi a ticket di assistenza tecnica dei clienti. Tra le informazioni compromesse figurano quelle contenute nei campi di testo dei casi di supporto. Tali dati comprendono i dettagli di contatto dei clienti, il testo dell’oggetto e il corpo delle corrispondenze relative ai casi.

È stato evidenziato da Cloudflare che, anche se non è richiesta la condivisione di informazioni sensibili da parte dei clienti nei ticket di supporto, tutte le credenziali, le chiavi API, i registri o le password che sono stati eventualmente incollati nei campi di testo dai clienti dovrebbero essere considerati ormai compromessi. L’azienda ha riportato che non è stato effettuato alcun accesso agli allegati e nessun servizio Cloudflare o infrastruttura principale è stato violato a seguito di questo incidente.

L’indagine ha rivelato che l’attacco è iniziato con una ricognizione il 9 agosto, mentre la compromissione iniziale si è verificata il 12 agosto. L’autore della minaccia ha utilizzato le credenziali rubate dall’integrazione Salesloft Drift per accedere ed esplorare sistematicamente il tenant Salesforce di Cloudflare prima di esfiltrare i dati del caso di supporto il 17 agosto.

Questo episodio ci ricordano ancora una volta che il cloud, pur offrendo scalabilità, comodità e flessibilità operativa, porta con sé rischi che spesso non sono immediatamente visibili. La natura interconnessa delle piattaforme SaaS, unite alle numerose integrazioni di terze parti, aumenta esponenzialmente la superficie di attacco. In questo contesto, anche le procedure più rigorose di gestione della sicurezza interna rischiano di non bastare: un errore o una vulnerabilità in un singolo anello della catena può compromettere l’intero ecosistema digitale.

La lezione principale è che la fiducia cieca nel cloud non può sostituire una strategia di sicurezza multilivello. Le aziende devono adottare approcci di zero trust, monitoraggio continuo e pratiche di riduzione dei privilegi, valutando con attenzione ogni integrazione esterna. L’incidente di agosto 2025 ci mostra chiaramente che, nel mondo digitale, la resilienza dipende non solo dalla forza delle difese interne, ma dalla capacità di prevedere e contenere i rischi derivanti da terze parti: perché oggi, un singolo incidente SaaS può trasformarsi in una compromissione globale.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.