Cloudflare đã được thông báo về vụ vi phạm vào ngày 23/8 và cảnh báo những khách hàng bị ảnh hưởng về sự cố vào ngày 2/9. Trong một động thái mới nhất, gã khổng lồ cung cấp dịch vụ Internet cũng đã thay đổi 104 token do nền tảng Cloudflare phát hành bị đánh cắp trong vụ vi phạm, mặc dù vẫn chưa phát hiện ra bất kỳ hoạt động đáng ngờ nào liên quan đến các token này.

Đại diện của Cloudflare cho biết: “Hầu hết dữ liệu bị xâm phạm đều là thông tin liên hệ của khách hàng, nhưng một số tương tác hỗ trợ người dùng có thể tiết lộ thông tin về cấu hình và có thể chứa thông tin nhạy cảm như mã token truy cập. Chúng tôi tin rằng sự cố này không phải là vụ việc riêng lẻ mà kẻ tấn công có ý định thu thập thông tin đăng nhập và thông tin khách hàng để phục vụ cho các cuộc tấn công trong tương lai”.

Kể từ đầu năm, nhóm tin tặc ShinyHunters đã nhắm mục tiêu vào khách hàng Salesforce trong các cuộc tấn công đánh cắp dữ liệu, sử dụng kỹ thuật lừa đảo qua giọng nói (vishing) để đánh lừa nhân viên liên kết các ứng dụng OAuth độc hại với các phiên bản Salesforce của công ty họ. Chiến thuật này cho phép kẻ tấn công đánh cắp cơ sở dữ liệu, sau đó được sử dụng để tống tiền nạn nhân.

Kể từ khi Google lần đầu tiên báo cáo về các cuộc tấn công này vào tháng 6/2025, nhiều vụ vi phạm dữ liệu được cho là có liên quan đến các chiến thuật kỹ nghệ xã hội của ShinyHunters, bao gồm cả những sự cố nhắm vào chính Google, Cisco, Qantas, Allianz Life, Farmers Insurance, Workday, Adidas cũng như các công ty con của LVMH là Louis Vuitton, Dior và Tiffany & Co.

Trong khi một số nhà nghiên cứu bảo mật chia sẻ với trang tin BleepingComputer rằng, các cuộc tấn công chuỗi cung ứng Salesloft Drift có liên quan đến cùng một tác nhân đe dọa, Google vẫn chưa tìm thấy bằng chứng thuyết phục nào cho thấy mối liên hệ giữa chúng.

Palo Alto Networks vừa qua cũng lên tiếng xác nhận những kẻ tấn công đứng sau vụ vi phạm Salesloft Drift đã đánh cắp một số dữ liệu hỗ trợ do khách hàng gửi, bao gồm thông tin liên hệ và bình luận văn bản. Sự cố của Palo Alto Networks chỉ giới hạn ở Salesforce CRM và theo như công ty chia sẻ, không ảnh hưởng đến bất kỳ sản phẩm, hệ thống hay dịch vụ nào của họ.

Công ty an ninh mạng này đã quan sát những kẻ tấn công tìm kiếm thông tin nhạy cảm, bao gồm khóa truy cập AWS (AKIA), chuỗi đăng nhập VPN và SSO, mã token Snowflake, cũng như các từ khóa chung như “secret”, “password” hoặc “key”, có thể được sử dụng để xâm nhập nhiều nền tảng đám mây hơn nhằm đánh cắp dữ liệu trong các cuộc tấn công tống tiền khác.