Jeep、Fiat母公司Stellantis疑被外洩北美客戶資料 1800萬筆個資恐被竊

擁有Jeep、Fiat、克萊斯勒(Chrysler)及瑪莎拉蒂(Maserati)等多個汽車品牌的汽車業巨擘Stellantis公告遭駭外洩北美客戶資料。惡名昭彰的勒索軟體組織ShinyHunters宣稱竊走了1800萬筆個資。

Stellantis本周表示近日偵測到，支援其北美客戶服務的第三方服務平臺遭未授權存取，因而洩露了客戶個資。該公司立即啟動安全回應措施、阻止了惡意活動，並展開調查，同時通報主管機關及聯繫受影響的客戶。

經過調查， Stellantis相信遭到存取的個資只有聯繫資訊，強調該平臺並未儲存財務或敏感個資，也沒有任何這些資料遭存取。該公司提醒客戶留心釣魚攻擊，切勿點擊不明來源的連結或分享個資的要求。

雖然這家車廠沒有說明被存取的第三方客戶平臺為何，但BleepingComputer報導，這起事件是最新一樁Salesforce資料外洩案。

本周稍早ShinyHunters向Bleeping Computer表示本案是其所為。他們宣稱從Stellantis的Salesforce竊走超過1800萬筆紀錄，包含姓名、聯絡資訊等。

ShinyHunters今年大肆入侵各大知名企業的客戶資料並勒索贖金。這群駭客利用語音釣魚取得的員工憑證以存取Salesforce資料庫。從科技業者Google、思科、澳航、荷航、法航、安聯人壽(Allianz Life)到精品業者LVMH、Dior、Tiffany等皆成其受害者。

另一方面，ShinyHunters也從GitHub竊來的客服聊天機器人Salesloft Drift的 OAuth憑證存取Salesforce，從中取得其他系統的密碼、AWS存取金鑰或Snowflake權杖。受害者清單也不乏資安業者包含Google、Cloudflare、Zscaler、Tenable、 Palo Alto Networks、 CyberArk、 Nutanix、Qualys等。他們向媒體宣稱，利用這個方法從760多家公司資料掠奪了15億筆紀錄。