一个由臭名昭著的黑客组织ShinyHunters、Scattered Spider和LAPSUS$成员组成的网络犯罪联盟,自称“Scattered LAPSUS$ Hunters”,日前在暗网启动了一项大规模勒索行动。该联盟宣称已窃取近10亿条来自Salesforce客户数据库的记录,并威胁若未能在2025年10月10日前满足其赎金要求,将公开数十家大型企业的敏感数据。目前,已有39家公司被列在其泄露网站上,其中包括谷歌、丰田、联邦快递、迪士尼和家得宝等全球知名巨头。
企业受害者面临日益增长的压力
此次勒索活动波及多个行业,黑客声称掌握了大量的客户关系管理(CRM)数据,其中包含个人身份信息(PII),例如姓名、地址、出生日期、社会安全号码以及企业联系方式。在黑客的泄露网站上,不仅出现了沃尔格林、麦当劳、肯德基、宜家和万豪等主要零售商,香奈儿、卡地亚以及开云集团旗下品牌等奢侈品巨头也赫然在列。
事实上,在2025年全年,已有数家企业证实了与Salesforce攻击相关的数据泄露事件。其中,保险巨头安联人寿报告有140万客户记录遭到泄露,而征信机构TransUnion则披露有440万消费者记录被曝光。谷歌也在今年8月承认,黑客曾访问其一个企业Salesforce实例,其中包含了中小企业的业务联系信息。
黑客团伙向Salesforce公司本身提出了要求,希望其能代表所有受影响的客户进行一次“一揽子”赎金谈判。他们声明:“如果您同意,我们将停止与您的任何客户进行中的或即将进行的单独谈判。” 该组织还威胁称,如果未能在10月10日的最后期限前满足他们的要求,他们将向律师事务所和监管机构提供Salesforce涉嫌疏忽的证据。
Salesforce坚称平台完整性未受损,但面临法律挑战
Salesforce方面一直坚称其核心平台并未受到损害,并表示:“没有迹象表明Salesforce平台被攻破,此次活动也与我们技术中的任何已知漏洞无关。” 该公司将这些攻击定性为复杂的社会工程学活动,旨在针对客户的实例而非平台本身的漏洞。黑客利用语音钓鱼技术诱骗员工授权恶意OAuth应用程序,从而实现入侵。
这些攻击主要利用了第三方集成中被泄露的认证令牌,特别是与Salesforce环境连接的Salesloft Drift AI营销工具。谷歌威胁情报组在2025年8月8日至18日期间追踪了此次攻击活动,并将其归因于威胁组织UNC6040和UNC6395。黑客通过冒充IT支持人员进行电话诈骗,诱导员工,从而获得了对客户数据的API级别访问权限。
尽管Salesforce极力辩护其平台的安全性,但该公司正面临日益增长的法律压力。仅在2025年9月,北加州地方法院就接到了至少14起针对Salesforce的诉讼。这些原告代表了数百万受影响的个人,他们认为Salesforce未能充分保护其平台并检测恶意应用程序,正寻求以疏忽和隐私侵犯为由发起集体诉讼。这些法律挑战对这家为全球数千家企业客户管理敏感客户数据的云软件巨头构成了巨大的财务风险。
