Cloudflare đã công bố một sự cố rò rỉ dữ liệu nghiêm trọng, ảnh hưởng đến thông tin khách hàng. Sự cố này xuất phát từ một cuộc tấn công chuỗi cung ứng tinh vi nhắm vào việc tích hợp Salesforce của hãng với Salesloft Drift.

Vụ việc xảy ra từ ngày 12 đến 17 tháng 8 năm 2025, dẫn đến việc lộ dữ liệu trường hợp hỗ trợ khách hàng và các thông tin xác thực nhạy cảm có khả năng được chia sẻ qua các kênh hỗ trợ.

Tổng Quan về Sự Cố Rò Rỉ Dữ Liệu Cloudflare

Cloudflare nhận thức được hoạt động đáng ngờ trong môi trường Salesforce của mình vào tuần trước. Điều này diễn ra sau khi họ được Salesforce và Salesloft thông báo về một sự cố bảo mật rộng lớn hơn.

Sự cố cho thấy tầm quan trọng của việc giám sát các tích hợp bên thứ ba, vốn thường là điểm yếu trong hệ thống bảo mật tổng thể của doanh nghiệp.

Chi Tiết Cuộc Tấn Công và Kẻ Đe Dọa GRUB1

Cuộc tấn công được thực hiện bởi một mối đe dọa mạng tiên tiến, được định danh là GRUB1. Kẻ tấn công đã khai thác thông tin xác thực OAuth bị xâm nhập từ tích hợp chatbot Salesloft Drift.

Thông qua việc khai thác này, GRUB1 đã có thể truy cập vào hệ thống hỗ trợ khách hàng của Cloudflare. Sự tinh vi của chiến dịch này cho thấy mức độ rủi ro từ các cuộc tấn công chuỗi cung ứng ngày càng gia tăng.

Dữ Liệu Bị Rò Rỉ và Ảnh Hưởng

Dữ liệu bị xâm phạm bao gồm thông tin liên hệ của khách hàng, tiêu đề của các trường hợp hỗ trợ và toàn bộ nội dung thư từ của khách hàng với bộ phận hỗ trợ của Cloudflare.

Mặc dù không có tệp đính kèm nào bị truy cập, vụ rò rỉ dữ liệu này có khả năng làm lộ bất kỳ thông tin nhạy cảm nào mà khách hàng có thể đã chia sẻ trong các phiếu hỗ trợ.

Các thông tin đó bao gồm các API tokens, mật khẩu, nhật ký và chi tiết cấu hình hệ thống. Do đó, tác động tiềm tàng của sự cố là rất đáng kể.

Cloudflare đã tuyên bố rõ ràng trong thông báo sự cố của mình: “Do dữ liệu trường hợp hỗ trợ của Salesforce chứa nội dung của các phiếu hỗ trợ với Cloudflare, bất kỳ thông tin nào mà khách hàng có thể đã chia sẻ với Cloudflare trong hệ thống hỗ trợ của chúng tôi đều nên được coi là đã bị xâm phạm.”

Diễn Biến Thời Gian và Phương Pháp Tấn Công

Điều quan trọng cần lưu ý là đây không phải là một cuộc tấn công biệt lập chỉ nhắm vào Cloudflare. Kẻ đe dọa GRUB1 đã nhắm mục tiêu vào hàng trăm tổ chức trên toàn cầu thông qua cùng một lỗ hổng Salesloft Drift.

Điều này biến nó thành một trong những cuộc tấn công chuỗi cung ứng nghiêm trọng nhất của năm 2025. Quy mô và phạm vi của chiến dịch cho thấy tầm quan trọng cấp bách của việc bảo mật chuỗi cung ứng.

Nhóm Tình báo Mối đe dọa của Google cũng đã công bố nghiên cứu phù hợp với những phát hiện của Cloudflare về chiến dịch tinh vi này. Điều này củng cố thêm mức độ nghiêm trọng và sự phối hợp của cuộc tấn công.

Giai Đoạn Trinh Sát và Khai Thác Ban Đầu

Chiến dịch của kẻ đe dọa nhằm vào Cloudflare bắt đầu bằng hoạt động trinh sát vào ngày 9 tháng 8. Thời điểm này, GRUB1 đã cố gắng xác thực một API token Cloudflare có khả năng bị đánh cắp.

Sự xâm nhập thực sự bắt đầu vào ngày 12 tháng 8 lúc 22:14 UTC, khi kẻ tấn công giành quyền truy cập. Chúng sử dụng thông tin đăng nhập tích hợp Salesloft bị đánh cắp từ địa chỉ IP 44.215.108.109.

Trong những ngày tiếp theo, GRUB1 đã tiến hành trinh sát rộng rãi môi trường Salesforce của Cloudflare. Kẻ tấn công lập bản đồ cấu trúc dữ liệu và tìm hiểu sâu về hoạt động của hệ thống hỗ trợ.

Exfiltration Dữ Liệu và Nỗ Lực Che Dấu

Hoạt động rò rỉ dữ liệu cuối cùng diễn ra vào ngày 17 tháng 8. Kẻ tấn công đã chuyển sang sử dụng hạ tầng mới với địa chỉ IP 208.68.36.90.

Kẻ tấn công sử dụng Salesforce’s Bulk API 2.0 để trích xuất dữ liệu trường hợp hỗ trợ. Quá trình này chỉ mất hơn ba phút để hoàn tất, cho thấy hiệu quả của phương pháp này.

Đáng chú ý, kẻ tấn công đã cố gắng xóa dấu vết bằng cách xóa job API liên quan. Tuy nhiên, đội ngũ an ninh của Cloudflare đã có thể tái tạo toàn bộ dòng thời gian tấn công từ các nhật ký còn lại, chứng tỏ năng lực phản ứng nhanh và khả năng ghi nhật ký mạnh mẽ.

Các Chỉ Số Lộ Vi Phạm (IOCs)

Các địa chỉ IP liên quan đến hoạt động của kẻ tấn công GRUB1 trong sự cố rò rỉ dữ liệu này bao gồm:

- 44.215.108.109
- 208.68.36.90

Phản Ứng của Cloudflare và Bài Học Rút Ra

Trong quá trình điều tra, Cloudflare đã phát hiện 104 API tokens của chính họ trong dữ liệu bị xâm phạm. Mặc dù không phát hiện hoạt động đáng ngờ nào liên quan đến các token này, tất cả chúng đều đã được xoay vòng ngay lập tức như một biện pháp phòng ngừa.

Công ty nhấn mạnh rằng không có dịch vụ cốt lõi hoặc cơ sở hạ tầng nào của họ bị xâm phạm trong vụ việc này. Điều này cho thấy sự cô lập hiệu quả của hệ thống chính khỏi tác động của cuộc tấn công thông qua các biện pháp bảo mật hiện có.

Phản ứng của Cloudflare rất toàn diện sau khi được thông báo về sự cố vào ngày 23 tháng 8. Công ty ngay lập tức kích hoạt đội ứng phó sự cố bảo mật liên chức năng và thiết lập bốn luồng công việc ưu tiên.

Các luồng công việc này bao gồm: ngăn chặn mối đe dọa ngay lập tức, bảo mật các tích hợp bên thứ ba, bảo vệ các hệ thống rộng hơn và phân tích tác động đối với khách hàng, đảm bảo một phương pháp tiếp cận đa chiều.

Cloudflare đã nhận trách nhiệm về vụ rò rỉ dữ liệu. Lãnh đạo công ty thừa nhận: “Chúng tôi chịu trách nhiệm về việc lựa chọn các công cụ mà chúng tôi sử dụng để hỗ trợ hoạt động kinh doanh của mình. Sự cố này đã làm khách hàng của chúng tôi thất vọng. Vì điều đó, chúng tôi chân thành xin lỗi.” [Nguồn: Cloudflare Blog]

Khuyến Nghị Bảo Mật cho Tổ Chức

Các chuyên gia bảo mật khuyến nghị tất cả các tổ chức đang sử dụng các tích hợp bên thứ ba tương tự nên thực hiện hành động ngay lập tức để đánh giá và tăng cường bảo mật.

Sự cố này đóng vai trò là lời nhắc nhở rằng trong môi trường kinh doanh kết nối ngày nay, các tổ chức chỉ an toàn khi tích hợp bên thứ ba yếu nhất của họ được bảo vệ chặt chẽ.

Như Cloudflare đã lưu ý, “chúng ta cần tiếp cận mỗi công cụ mới với sự giám sát cẩn thận” do tiềm năng gây ra các tác động bảo mật lan truyền trên toàn bộ cơ sở khách hàng. Việc này là cần thiết để phòng tránh các cuộc tấn công tương tự trong tương lai.

Cloudflare đã cam kết chia sẻ thông tin tình báo mối đe dọa chi tiết về các phương pháp tấn công của GRUB1 với cộng đồng bảo mật rộng lớn hơn. Điều này nhằm mục đích giúp các tổ chức khác phòng thủ chống lại các chiến dịch tương tự trong tương lai, nâng cao khả năng an toàn thông tin cho toàn bộ hệ sinh thái.