根據彭博社(Bloomberg)及BleepingComputer的報導,全球CRM龍頭Salesforce的確遭到駭客的勒索,並在本周二(10/7)發信通知客戶,該公司不會支付贖金。
發動這起勒索行動的駭客組織為Scattered Lapsus$ Hunters。
駭客在今年初開始偵察銷售平臺Salesloft上的Drift。Drift是個聊天行銷工具,能夠與潛在客戶互動,支援企業網站的聊天,並可整合包括Salesforce在內的CRM平臺。許多企業授權Drift以OAuth機制連線至Salesforce,用來自動建立潛在客戶資料與同步聊天紀錄,而駭客即入侵了Drift的雲端環境,竊取大量的Salesforce OAuth存取憑證。
自今年8月8日至18日之間,駭客利用這些存取憑證登入多家Salesforce租戶,批次查詢企業的「Account」、「Case」、「User」、「Opportunity」等資料物件,並特別搜尋AWS金鑰、Snowflake Token與API密碼等敏感資訊,最後刪除查詢記錄以掩蓋行跡。
然而,Salesloft的監控發現了不正常的大量授權請求與資料匯出行為,受害企業亦察覺到異常的API查詢及資料下載,Google則於8月底公布此事,最後是由Salesloft與Salesforce聯合撤銷所有Drift應用的Token,才阻止了駭客的資料竊取行為。
但事件並未就此落幕,因為駭客開始向受害者及Salesforce勒索,要求它們支付贖金,否則就要公布所盜來的資料,並設立Breachforums網站,公布受害者名單,涵蓋FedEx、Disney、Home Depot、Google、思科、Toyota、麥當勞、Instacart、Cartier、Adidas、HBO MAX、UPS、Chanel及IKEA等39家企業。
儘管被駭的不是Salesforce,但受害者全是Salesforce客戶,使得駭客揚言,倘若Salesforce願意支付贖金,那麼它們即願意放過所有客戶,否則就會單獨向不同的客戶勒索。
不過,Salesforce在寄給客戶的郵件中表示,即使駭客威脅要公開所盜來的客戶資料,但該公司並不會支付贖金。Salesforce發言人Allen Tsai亦向媒體表示,Salesforce不會參與、協商或支付任何勒索要求。
另一方面,Breachforums網站本周已被關閉,疑似已遭到執法機關接管。
熱門新聞
2025-11-10
2025-11-12
2025-11-10
2025-11-10
2025-11-07
2025-11-07