Salesforce已明确表示拒绝支付勒索金,此前该公司遭遇大规模数据泄露事件,据称导致近10亿客户记录外泄,涉及数十家大型企业。太平洋时间2025年10月7日星期二,这家云计算巨头向客户通报了其坚定立场。此前,一个名为“Scattered Lapsus$ Hunters”的黑客组织威胁称,如果勒索要求未能在10月10日截止日期前得到满足,他们将公布从39家公司窃取的数据。
此次数据泄露事件并未直接源于Salesforce核心系统的受损。相反,黑客通过利用第三方集成和OAuth令牌,特别是通过Salesloft的Drift AI聊天机器人应用程序,成功获得了未经授权的客户Salesforce环境访问权限。安全专家将此次攻击描述为针对企业软件平台最具影响力的供应链攻击之一。
复杂攻击利用社会工程学
此次网络攻击行动由包括臭名昭著的ShinyHunters、Lapsus$和Scattered Spider等黑客组织的成员发起,他们主要通过被称为“语音钓鱼”(vishing)的社会工程学手段实施。根据FBI在9月发布的紧急警报,攻击者冒充IT员工,诱骗企业内部人员授权在其公司Salesforce门户中安装恶意OAuth应用程序。
FBI警告称:“威胁行为者已诱骗受害者授权恶意连接的应用程序访问其组织的Salesforce门户。”并指出这种方法“绕过了许多传统防御措施,例如多因素认证(MFA)、密码重置和登录监控”。
Google威胁情报小组披露,在2025年8月8日至18日期间,黑客利用从Salesloft的Drift集成中获取的受损OAuth令牌,系统地查询Salesforce数据库,以窃取包括AWS访问密钥、密码和Snowflake令牌在内的敏感信息。攻击者曾试图通过删除查询任务来掩盖踪迹,但未能抹去审计日志,这些日志为调查人员提供了他们活动的确凿证据。
众多知名企业受害
2025年10月3日,黑客在暗网启动了一个泄露网站,其中列出了众多知名受害者,包括丰田(Toyota)、联邦快递(FedEx)、迪士尼(Disney)、思科(Cisco)、谷歌(Google)、Workday,以及路易威登(Louis Vuitton)、迪奥(Dior)和香奈儿(Chanel)等奢侈品牌。此外,Zscaler、Palo Alto Networks和Cloudflare等多家网络安全公司也已证实其在此次攻击活动中受到影响。
黑客声称已掌控来自760家公司的逾15亿条记录,其中包括2.54亿个账户、5.79亿个联系人和1.71亿个商机数据。今年,TransUnion、Workday和谷歌等公司已公开承认受到与Salesforce相关的泄露事件影响。
前所未有的勒索策略
此次攻击活动的独特之处在于黑客直接向Salesforce发出了勒索威胁,要求该公司支付赎金以保护所有客户的数据。勒索网站上写道:“联系我们以重新获得数据治理控制权,并防止您的数据被公开披露。”安全研究人员将此描述为一种不同寻常的策略。
AppOmni首席技术官布莱恩·索比(Brian Soby)表示,这标志着“攻击者首次威胁要参与或利用现有诉讼,针对受损平台的供应商”。该黑客组织已发出警告,如果其要求得不到满足,将与根据GDPR法规对Salesforce提起民事诉讼的律师事务所合作。
Salesforce坚称,“没有迹象表明Salesforce平台本身已遭到入侵,此次活动也与我们技术中的任何已知漏洞无关。”该公司将这些勒索企图描述为与“过去或未经证实事件”相关,并强调其仍在“与受影响的客户保持沟通以提供支持”。
随着10月10日截止日期的临近,网络安全专家警告称,任何数据泄露都可能助长大规模网络钓鱼活动、身份盗窃,以及利用被盗个人信息发动的复杂AI驱动攻击。
