ShinyHunters宣稱從Drift駭入事件竊得15億筆Salesforce資料

近日涉嫌駭入Google、思科、安聯人壽等知名企業的駭客組織ShinyHunters本周宣稱，已經自Salesloft Drift駭入760家企業Salesforce資料庫，取得近15億筆用戶資料。

今年8月起，陸續有思科、安聯人壽公告遭不明人士竊走客戶資料，當時僅有Google說明是客戶關係管理（CRM）系統Salesforce遭駭。Google自家資安團隊及服務部門Mandiant公告調查結果，攻擊者自8月8日至8月18日期間，濫用整合Salesforce的Salesloft Drift OAuth權杖登入其CRM系統，並竊走客戶資料及其他內部系統資料。

Mandiant研究人員將這群攻擊者命名為UNC6040 及 UNC6395。犯案歹徒自稱是ShinyHunters、Scattered Spiders，據信是以ShinyHunters為主要成員，不過後來宣稱ShinyHunters、Scattered Spiders及Lapsus$三者已整合，名為Scattered Lapsus$ Hunters。

ShinyHunters本周對資安媒體BleepingComputer透露其作案細節。這群駭客一開始利用開源數據挖掘工具TruffleHog掃瞄網路上是否有外洩的Salesloft Drift憑證。最後他們找到Salesloft公司的GitHub密碼。

這點也和Salesloft的調查相符，這家開發商調查發現駭客今年3月到6月份存取了該公司的GitHub儲存庫，當中包含該公司程式原始碼。這使得駭客得以取得API密鑰、權杖和密碼。

隨後，駭客取得了Salesloft Drift串聯其他知名系統的憑證，包括Salesforce的OAuth存取憑證，進而竊走客戶資料庫資料。ShinyHunters聲稱從760家公司的Salesforce系統取得「帳號」、「聯絡人」、「案例」、「機會」和「使用者」等物件表格各千萬筆到數億筆不等的紀錄。ShinyHunters也向媒體提供了包含原始碼的文字檔以資證明。

Google Mandiant在最新研究中也有類似發現。其中「案例」是客戶向Salesforce請求支援的紀錄，可能包含重要系統如AWS的憑證、Snowflake的驗證權杖、存取金鑰等機密資訊。因此除了Salesforce內的客戶資訊，受害者的重要營運系統和機密資料都可能遭竊。而且駭客還相當謹慎，刪除查詢紀錄以免被發現。

透過外洩的Salesloft Drift和Drift Email憑證，這群駭客接連駭入多家企業，其中不乏資安業者包括Google、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、Palo Alto Networks等。

本周Google也證實，攻擊者在其執法請求系統（Law Enforcement Request System，LERS）建立了假帳號。