网络犯罪联盟“Scattered LAPSUS$ Hunters”近日在暗网设立勒索网站,声称已窃取近10亿条Salesforce客户数据库记录。该联盟威胁称,若未能于2025年10月10日前满足其赎金要求,将公开数十家大型企业的敏感数据。这个由臭名昭著的黑客组织ShinyHunters、Scattered Spider和LAPSUS$成员组成的团伙,已在其泄密网站上列出了39家受害公司,其中包括谷歌、丰田、联邦快递、迪士尼和家得宝等全球知名企业。
企业受害者面临日益增长的压力
此次勒索行动的目标涵盖多个行业的企业,黑客声称掌握的客户关系管理数据(CRM)中包含大量个人身份信息(PII),例如姓名、地址、出生日期、社会安全号码以及业务联系方式。在泄密网站上,威廉姆斯、麦当劳、肯德基、宜家和万豪等主要零售商赫然在列,香奈儿、卡地亚以及开云集团旗下品牌等奢侈品巨头也未能幸免。
2025年全年,已有数家公司证实遭遇了与Salesforce攻击相关的客户数据泄露。保险巨头安联人寿报告称,有140万客户记录受损,而信用评级机构TransUnion也披露了440万消费者记录被曝光。谷歌于8月承认,其一个用于中小型企业业务联系信息的Salesforce企业实例曾被黑客访问。
黑客组织要求Salesforce公司亲自出面,与他们协商一笔“总括赎金”以保护所有受影响的客户。他们声称:“若您遵守,我们将撤销与您客户的任何活跃或正在进行的单独谈判。”该组织还威胁称,如果未能在10月10日的截止日期前满足其要求,他们将向律师事务所和监管机构提供Salesforce涉嫌玩忽职守的证据。
Salesforce在法律挑战中坚称平台完整性
Salesforce一再强调其核心平台并未遭到入侵,声明表示:“没有迹象表明Salesforce平台已受损,此活动也与我们技术中任何已知漏洞无关。”该公司将这些攻击描述为针对客户实例而非平台漏洞的复杂社会工程学活动,黑客利用语音钓鱼技术诱骗员工授权恶意OAuth应用程序。
这些攻击主要利用了来自第三方集成——尤其是与Salesforce环境相连接的Salesloft Drift AI营销工具——中受损的身份验证令牌。谷歌的威胁情报小组在2025年8月8日至18日期间追踪了此次行动,并将其归因于威胁组织UNC6040和UNC6395。黑客通过冒充IT支持人员拨打电话,诱导员工,从而获得了对客户数据的API级别访问权限。
尽管Salesforce为其平台安全性进行了辩护,但该公司正面临日益增加的法律压力。仅2025年9月,北加州地方法院就已受理了至少14起针对Salesforce的诉讼。代表数百万受影响个人的原告们认为,Salesforce未能充分保护其平台并检测恶意应用程序,正寻求以疏忽和侵犯隐私为由获得集体诉讼地位。这些法律挑战对这家为全球数千家管理敏感客户数据的企业提供服务的云软件巨头构成了巨大的财务风险。
