2025年6月,谷歌的一个Salesforce企业CRM实例被黑。攻击者下载了大量中小企业客户的联系信息和备注,虽然官方口径称“多数是公开的业务信息”,但这并不能掩盖谷歌正被卷入一场愈演愈烈的全球性勒索软件攻击风暴之中。

而这场风暴的始作俑者,正是臭名昭著的数据勒索组织:ShinyHunters。

CRM系统,成了新的数据黑金矿

本次攻击并非孤立事件,而是一场有组织、有策略、有规模的数据勒索战役的一部分。

据谷歌自己披露,他们遭遇的攻击属于他们命名的“UNC6040”组织发起的活动,而网络安全媒体BleepingComputer调查发现,这正是ShinyHunters的马甲之一。

其手法早已在业内广为流传:

  • 通过Vishing(语音社工诈骗)拿下员工账户;

  • 入侵Salesforce CRM系统;

  • 下载客户数据;

  • 邮件勒索:不给钱就公开泄露。

如果勒索失败?没关系,数据会在暗网兜售,或干脆公之于众,拿声量“吸粉”。

受害名单:从谷歌到LVMH,都是大客户

在被攻击的名单中,谷歌并不孤独。

受影响的公司包括:

  • Adidas(阿迪达斯)

  • Qantas(澳洲航空)

  • Allianz Life(安联人寿)

  • Cisco(思科)

  • LVMH集团旗下的Louis Vuitton、Dior、Tiffany&Co.

据BleepingComputer披露,有公司已经支付了4个比特币(约40万美元)以避免数据被泄露。而更多企业正在面对是否“买单”的艰难抉择。

ShinyHunters声称,他们已经攻陷多个Salesforce实例,且攻击仍在进行中,甚至扬言已经入侵了一家“市值万亿美元”的科技公司,并将不经过勒索直接泄漏该公司数据。(ShinyHunters虽然未点名谷歌,但结合时间线,不排除可能性)。

为什么是Salesforce?大厂的软肋之一

为何黑客频频盯上Salesforce?答案很简单:

  • 一站式存储了全球企业最核心的客户数据;

  • 多数企业在使用Salesforce过程中,权限管理松散,第三方插件和远程访问接口众多;

  • 而社工攻击的对象——人类,永远是最薄弱的安全环节。

在现代企业流程中,CRM系统已经从“销售工具”变成了“业务中枢”,一旦被攻破,数据所带来的影响远超表面看起来的“联系信息”。

面对这次事件,谷歌在回应中强调:

“数据仅限于中小企业的联系信息,属于基本公开的业务数据。”

类似这样敷衍的回应,几乎是每一次大公司数据泄漏被曝光时的标准公关模板。

但问题在于,这种“基本信息”是否能被用于更进一步的攻击?

答案显然是肯定的:

  • 黑客可利用这些信息构造更真实的钓鱼邮件;

  • 进一步社工攻击谷歌合作方或客户;

  • 或者,干脆卖给竞争对手,作为销售线索。

换句话说,一旦数据外泄,损失远不止“联系人信息表格”那么简单。

“勒索即服务”:黑产商业化的新高度

ShinyHunters的运作方式,已经不再是“黑客团伙”的原始模式,而是一个系统化、流程化、成熟的“勒索即服务”平台(Ransomware-as-a-Service)。

他们有:

  • 专业的信息收集和社工团队;

  • 自动化的漏洞扫描和渗透工具;

  • 专职的勒索谈判人;

  • 暗网上的销售渠道和品牌效应;

  • 有时,还会直接用攻击战绩“做PR”。

这次针对Salesforce的大规模攻击,也许只是他们“年度新品发布会”的一部分。

结语:大厂都防不住?该反思的不只是谷歌

在杀疯了的ShinyHunters面前,大厂(甚至包括谷歌这样以安全技术见长的大厂)的防线逐渐失效,核心系统被攻破,内部数据被拿捏,而几乎所有公司的第一反应都是:“没有关键数据泄露”。

但问题是,什么是“关键”?在一个数据变现能力空前强大的时代,“中小企业联系人信息”也可能是一座金矿。

更令人担忧的是,大多数CRM实例并没有实现真正的最小权限原则,也缺乏行为异常监控机制,这让攻击者一旦突破初始防线,就能畅行无阻。

这一次,谷歌只是轮到被点名的巨头之一。而ShinyHunters表示,谷歌不是最后一个。

参考链接:

https://www.bleepingcomputer.com/news/security/google-suffers-data-breach-in-ongoing-salesforce-data-theft-attacks/

声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。