Cloudflare Terkena Dampak Serangan Rantai Pasokan Salesloft Drift, 104 Token API Dieksfiltrasi
Cloudflare, salah satu perusahaan infrastruktur internet terbesar di dunia, mengonfirmasi bahwa mereka menjadi korban terbaru dari serangan rantai pasokan (supply chain attack) yang melibatkan kompromi pada Salesloft dan Drift, dua platform CRM dan komunikasi yang banyak digunakan.
Dalam pernyataan resminya, Cloudflare menyebut bahwa peretas berhasil mendapatkan akses ke instans Salesforce internal mereka yang digunakan untuk manajemen kasus pelanggan dan dukungan teknis. Dari sana, peretas mengekstrak 104 token API Cloudflare dan data dukungan lainnya.
🔍 Kronologi dan Dampak
- 9 Agustus: Tahap awal rekonsiliasi oleh peretas
- 12–17 Agustus: Data dalam objek kasus Salesforce diekstraksi
- 23 Agustus: Cloudflare menerima notifikasi insiden
- 2 September: Cloudflare memberitahu pelanggan yang terdampak
Menurut investigasi internal, data yang dicuri hanya berupa teks dalam tiket dukungan Salesforce, tanpa lampiran. Namun demikian, data tersebut bisa mencakup:
- Konten tiket (termasuk log, token, atau bahkan password jika dibagikan oleh pelanggan)
- Informasi kontak pelanggan (nama perusahaan, email, nomor telepon, domain, negara)
- Subjek tiket
Cloudflare sudah memutar ulang (rotate) seluruh 104 token API dan mengimbau pelanggan untuk mengganti kredensial apa pun yang pernah dibagikan melalui sistem tiket dukungan tersebut.
🚨 Potensi Serangan Lanjutan
Cloudflare memperingatkan bahwa insiden ini bukan kasus terisolasi. Mereka yakin bahwa aktor ancaman bermaksud mengumpulkan kredensial untuk meluncurkan serangan bertarget di masa mendatang terhadap organisasi yang terkena dampak.
“Kami yakin insiden ini adalah bagian dari kampanye yang lebih luas untuk mencuri data kredensial dan informasi pelanggan demi digunakan dalam serangan siber lanjutan.”
Cloudflare menyarankan semua pelanggan agar:
- Mengganti semua token, kunci API, dan password yang pernah dikirim via tiket dukungan
- Mengaktifkan autentikasi dua faktor (2FA) di akun mereka
- Mengawasi aktivitas mencurigakan di sistem mereka
🔗 Latar Belakang: Serangan ShinyHunters
Grup peretas ShinyHunters, yang dikenal menggunakan teknik voice phishing (vishing) dan OAuth abuse, diyakini berada di balik serangan ini, meskipun belum ada bukti pasti yang mengaitkan mereka secara langsung.
Serangan sebelumnya oleh ShinyHunters telah menargetkan perusahaan besar seperti:
- Cisco
- Qantas
- Workday
- Adidas
- LVMH Group (Louis Vuitton, Dior, Tiffany & Co.)
Dalam kasus serupa, mereka berhasil mengelabui staf agar menyetujui aplikasi OAuth berbahaya yang membuka akses ke Salesforce atau sistem CRM perusahaan lainnya.
