2025年出現多起鎖定雲端CRM平臺Salesforce的攻擊,其中,又以駭客組織ShinyHunters的活動最為猖獗,他們先後針對採用Salesloft Drift、Gainsight連接Salesforce的用戶下手,如今傳出這些駭客發起新一波攻擊行動。
這項消息源自3月7日Salesforce發布的安全指引,呼籲企業檢查Experience Cloud網站的訪客帳號(guest user)存取權限設定,以防止資料被未授權存取。後續資安新聞網站Bleeping Computer報導指出,Salesforce提到的攻擊者身分就是ShinyHunters,該組織宣稱正利用相關弱點竊取資料,已有多家企業受害。我們也針對此事詢問Salesforce臺灣分公司,不過在截稿之前尚未得到回應。
Salesforce在公告中指出,他們發現攻擊者鎖定企業利用Experience Cloud建立的公開網站,而且,針對特定錯誤設定的行為增加。企業通常利用上述平臺建置客服入口網站或支援社群平臺,駭客利用訪客帳號權限設定錯誤的問題,在未登入的情況下透過API查詢資料。若企業賦予訪客帳號過多的資料存取權限,攻擊者就可能直接存取CRM系統中的資料物件,進而取得企業內部資訊或客戶資料。
Salesforce強調,這些事件並非平臺本身存在軟體漏洞,而是部分企業在設定Experience Cloud訪客帳號權限時配置不當所致。若企業允許訪客帳號存取過多資料物件,攻擊者便可能透過API查詢CRM資料,例如客戶聯絡資訊或企業內部記錄。
為降低風險,Salesforce建議企業檢查Experience Cloud訪客帳號的安全設定,包括限制訪客帳號可存取的資料物件、停用不必要的公開API存取權限,以及監控異常的API查詢行為。此外,也建議企業檢查是否存在未經授權的資料存取活動,以避免敏感資訊遭到大量擷取。
針對攻擊的其他細節,Salesforce指出是一個已知的駭客團體所為。這些駭客利用Mandiant開發的工具Aura Inspector,將此工具修改後,對可公開存取的Experience Cloud網站進行大規模掃描。基本上,原本的Aura Inspector功能僅限於探測網站暴露的API端點,藉此識別容易受到攻擊的物件,但是,駭客修改的版本,可進一步藉由網站過於寬鬆的訪客用戶設定,進行資料擷取。
一般而言,在Experience Cloud網站上,任何瀏覽網頁的使用者會共用訪客使用者設定檔(guest user profile),其功能是允許未經授權的使用者檢視企業打算公開的資料,然而一旦該設定檔配置不當,被授予過多權限,攻擊者就有機會藉此直接查詢Salesforce上的CRM物件,過程中無須登入系統。對此,Salesforce呼籲用戶儘速採取行動因應。
雖然Salesforce並未提及駭客團體的名稱,但這樣的手法很難不讓人聯想攻擊者就是ShinyHunters,該駭客組織向資安新聞網站Bleeping Computer聲稱,這波攻擊行動就是他們所為。
ShinyHunters宣稱,2025年9月開始鎖定大量企業網站進行掃描,已從約100家知名企業取得資料,這些企業有許多是資安領域的公司。根據估計,受害企業總數介於300至400家,攻擊者可能將竊得的資料出售或用於勒索。
Mandiant也向Bleeping Computer證實,他們推出的工具遭到濫用,駭客試圖利用Aura Inspector,對於多個Salesforce環境自動化掃描漏洞,從而促成入侵活動。
熱門新聞
2026-03-06
2026-03-06
2026-03-09
2026-03-09