هک Cloudflare: اطلاعات کاربران در خطر؛ توصیه‌های فوری برای امنیت بیشتر

در گزارشی که منتشر شده گفته شد هکرها از توکن‌های OAuth دزدیده‌ شده از چت‌بات Drift AI در Salesloft برای ورود به حساب‌های مرتبط با Salesforce استفاده کردند. اکنون، Cloudflare اعلام کرده است که بین ۱۲ تا ۱۷ اوت، دقیقاً تحت همان نوع حمله قرار گرفته و توصیه کرده که هر اطلاعاتی که با تیم‌های پشتیبانی آن به اشتراک گذاشته‌اید، باید به عنوان اطلاعات compromised تلقی شود. این بدان معناست که هرگونه لاگ، توکن یا رمزعبوری که در تیکت‌های پشتیبانی به اشتراک گذاشته‌اید، ممکن است در دست حمله‌کنندگان باشد.

بر اساس گفته‌های Cloudflare، هیچ‌یک از خدمات یا زیرساخت‌های آن تحت تأثیر قرار نگرفته و این شرکت به‌طور مستقیم با تمام مشتریان تحت تأثیر قرار گرفته تماس گرفته است. درست مانند Palo Alto Networks، Cloudflare ادعا می‌کند که نقض امنیتی محدود به محیط Salesforce آن بوده و “داده‌های اساسی تیکت‌های پشتیبانی” و “اطلاعات تماس مشتری” را فاش کرده است.

با این حال، ممکن است در برخی موارد، تعاملات پشتیبانی شامل جزئیات حساس پیکربندی مانند توکن‌های دسترسی باشد، به همین دلیل توصیه می‌شود که هرگونه اعتبارنامه‌ای که از این طریق به اشتراک گذاشته‌اید، به‌سرعت تغییر دهید. Cloudflare همچنین اعلام کرده که پس از جستجوی داده‌های compromised برای توکن‌ها یا رمزعبور، “هیچ فعالیت مشکوکی” پیدا نکرده، اما از روی احتیاط ۱۰۴ توکن API Cloudflare را شناسایی و تغییر داده است.

در پست وبلاگی خود، Cloudflare رابطه‌اش با Salesforce را توضیح داد که از آن برای پیگیری مشتریان و مدیریت تعاملات پشتیبانی استفاده می‌کند. این شرکت از ادغام Salesloft Drift که Salesforce به‌عنوان راهی برای ارتباط بازدیدکنندگان وب‌سایت ارائه می‌دهد، استفاده کرده است.

حمله‌کنندگان از این ارتباط برای ورود به “تیکت‌های” Salesforce که به کارمندان Cloudflare اجازه می‌دهد با مشتریان ارتباط برقرار کنند، سوءاستفاده کردند. هکرها توانستند به عنوان تیکت، محتوای مکاتبه و اطلاعات تماس مشتریان مانند نام شرکت، آدرس ایمیل و شماره تلفن دسترسی پیدا کنند. این حمله فقط داده‌های متنی را استخراج کرد و به پیوست‌های فایل دسترسی نداشت.

Cloudflare به کاربران توصیه می‌کند که تمامی ارتباطات Salesloft را از محیط Salesforce خود قطع کرده و هر نرم‌افزار یا افزونه مرورگر مرتبط را حذف کنند. این شرکت همچنین توصیه می‌کند که اعتبارنامه‌های تمامی برنامه‌های شخص ثالث متصل به حساب Salesforce خود را تغییر داده و یک برنامه منظم برای تغییر کلیدهای API ایجاد کنند.

بررسی داده‌های گذشته تیکت‌های پشتیبانی برای شناسایی اطلاعات حساسی که ممکن است فاش شده باشد، ایده خوبی است. اگر شما مشتری Cloudflare هستید، می‌توانید با مراجعه به تاریخچه تیکت‌های پشتیبانی خود در داشبورد تحت بخش Support > Technical Support > My Activities، این کار را انجام دهید.