近日,網(wǎng)絡(luò)安全領(lǐng)域再起波瀾,全球知名軟件服務(wù)提供商Salesforce卷入一場大規(guī)模數(shù)據(jù)盜竊與勒索風(fēng)波。據(jù)多方消息證實(shí),Salesforce已明確表態(tài),不會與實(shí)施攻擊的網(wǎng)絡(luò)威脅組織進(jìn)行任何形式的談判,也絕不會支付贖金。
此次事件源于一個名為“Scattered Lapsus$ Hunters”的黑客組織,該組織近期建立了一個數(shù)據(jù)泄露網(wǎng)站,并試圖對39家數(shù)據(jù)遭竊的公司進(jìn)行勒索。該網(wǎng)站托管在域名breachforums[.]hn下,此域名與臭名昭著的黑客論壇BreachForums有關(guān)聯(lián),后者以買賣和泄露被盜數(shù)據(jù)而聞名。
被列在該數(shù)據(jù)泄露網(wǎng)站上的企業(yè)陣容強(qiáng)大,包括聯(lián)邦快遞、迪士尼/Hulu、家得寶、萬豪國際、谷歌、思科、豐田、蓋璞、開云集團(tuán)、麥當(dāng)勞、沃爾格林、Instacart、卡地亞、阿迪達(dá)斯、薩克斯第五大道、法航-荷航集團(tuán)、環(huán)聯(lián)、HBO MAX、聯(lián)合包裹、香奈兒以及宜家等眾多知名品牌和機(jī)構(gòu)。黑客組織聲稱,若這些企業(yè)未單獨(dú)支付贖金,或Salesforce未統(tǒng)一支付覆蓋所有受影響客戶的贖金,他們將逐步公開竊取的近10億條數(shù)據(jù)記錄。
Salesforce在向客戶發(fā)送的電子郵件中明確表示,不會支付贖金,并警告稱,根據(jù)“可信的威脅情報”,攻擊者正計劃公開泄露所竊取的數(shù)據(jù)。Salesforce還向BleepingComputer證實(shí),不會與任何勒索方接觸、談判或滿足其勒索要求。
這場數(shù)據(jù)盜竊事件可追溯至2025年發(fā)生的兩起獨(dú)立攻擊行動。第一波攻擊始于2024年底,攻擊者通過社會工程手段,冒充IT技術(shù)支持人員,誘騙企業(yè)員工將惡意OAuth應(yīng)用連接至公司的Salesforce系統(tǒng)。一旦獲得授權(quán),攻擊者便利用該訪問權(quán)限下載并竊取數(shù)據(jù)庫,隨后通過電子郵件對企業(yè)實(shí)施勒索。此次攻擊影響的企業(yè)包括谷歌、思科、澳洲航空、阿迪達(dá)斯、安聯(lián)人壽、農(nóng)夫保險、Workday、開云集團(tuán),以及LVMH集團(tuán)旗下子公司如迪奧、路易威登和蒂芙尼等。
第二波攻擊始于2025年8月初,攻擊者利用從SalesLoft Drift平臺竊取的OAuth令牌,橫向滲透至其客戶的CRM環(huán)境并實(shí)施數(shù)據(jù)外泄。此次攻擊主要聚焦于竊取客戶支持工單數(shù)據(jù),從中掃描提取登錄憑證、API密鑰、身份驗(yàn)證令牌及其他敏感信息,以便進(jìn)一步入侵企業(yè)的內(nèi)部基礎(chǔ)設(shè)施和云服務(wù)系統(tǒng)。其中一名參與攻擊的黑客組織成員——“ShinyHunters”向BleepingComputer透露,在此次攻擊活動中,他們共竊取了超過760家企業(yè)的約15億條數(shù)據(jù)記錄。
截至目前,已有包括谷歌、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networks在內(nèi)的多家企業(yè)確認(rèn)受到了SalesLoft供應(yīng)鏈攻擊的影響。
近期上線的數(shù)據(jù)泄露網(wǎng)站最初主要用于勒索第一波社會工程攻擊中的受害者。攻擊者曾宣稱,將于10月10日之后開始公開勒索受SalesLoft攻擊影響的企業(yè)。然而,目前該數(shù)據(jù)泄露網(wǎng)站已被關(guān)閉。其域名當(dāng)前使用的DNS服務(wù)器為surina.ns.cloudflare.com和hans.ns.cloudflare.com,這兩個IP地址此前曾被美國聯(lián)邦調(diào)查局(FBI)用于查封非法域名時使用。
BleepingComputer已就此聯(lián)系FBI,詢問是否由其執(zhí)行了此次域名查封,但截至發(fā)稿時尚未收到回應(yīng)。
