Pandora資料外洩 可能為Salesforce相關事件最新受害品牌

丹麥精品業者Pandora近日傳出資安事件，被駭客竊取客戶姓名及電子郵件等個資，成為最新資料外洩的精品業者。

財星雜誌首先報導，Pandora以郵件通知顧客外洩事件，Pandora也證實此事。事件起因是這家精品業者使用的第三方系統遭非授權存取，致使客戶資料遭存取。Pandora說，除了顧客姓名、電子郵件，密碼、ID、信用卡等財務資訊都不受影響。

法國精品業者Chanel也在本周向媒體證實7月25日有類似的資安事件。Chanel代管在第三方業者平臺上的客戶資料，包括姓名、電話及住家地址遭攻擊者存取。該公司表示本次事件只影響美國客戶。

雖然兩家公司都未透露第三方系統為何，但Bleeping Computer取得消息報導，兩家公司都是使用Salesforce。

更早之前，LV、Cartier、愛迪達、安聯人壽等大型企業也相繼傳出資料外洩。

結合社交工程的攻擊得逞

媒體及資安業者將這波攻擊將事件元兇指向ShinyHunters組織，Google則以UNC6040指稱。

就犯案手法而言，Google認為攻擊者是利用語音釣魚（vishing），冒充IT人員誘騙不知情的員工下載Salesforce一個假的Salesforce Data Loader連接程式，並引導員工同意核准OAuth授權，使該假App可長期不經驗證直接存取Salesforce，種下禍根。駭客之後即可調用Salesforce API，竊取其儲存的客戶資料。

因此這幾次事件並非Salesforce系統有漏洞遭濫用。Salesforce對媒體表示，Salesforce系統並未被存取，本事件也非其平臺漏洞所致。雖然其平臺內建企業級安全，但客戶才是確保資料安全的關鍵，尤其是面對釣魚及社交工程攻擊。