骇人听闻！一次攻击窃取了760家企业超15亿条数据，涉多家财富500强

前情回顾·数据泄露狂潮

• 超1.6亿条记录！黑客组织声称窃取越南全国公民信用数据

• 低级错误致使2700万用户数据泄露，知名运营商被罚近7亿元

• 医疗厂商泄露近240万客户健康信息，赔偿超1.1亿元

• 超1.84亿条账号密码泄露，涉苹果、谷歌、小米等众多知名公司

安全内参9月19日消息，勒索组织ShinyHunters宣称，他们通过入侵Salesloft Drift的OAuth令牌，从760家公司窃取了超过15亿条Salesforce记录。

在过去一年中，这些威胁行为者针对Salesforce客户持续发动数据窃取攻击，主要手段包括社会工程学和恶意OAuth应用，从而攻陷Salesforce实例并下载数据。随后，他们利用被盗数据勒索企业，以泄露信息为威胁，迫使企业支付赎金。

据称，这些攻击由ShinyHunters、Scattered Spider和Lapsus$等勒索组织实施，他们目前自称为“Scattered Lapsus$ Hunters”。谷歌将相关活动追踪为UNC6040和UNC6395。

关健SaaS授权失陷，客户数据全面失守

今年3月，其中一名威胁行为者攻破了Salesloft的GitHub代码库，获取了该公司的私有源代码。

ShinyHunters向外媒BleepingComputer透露，威胁行为者利用TruffleHog安全工具扫描源代码以寻找敏感信息，最终发现了Salesloft Drift和Drift Email平台的OAuth令牌。

Salesloft Drift是一个第三方平台，它将Drift AI聊天代理与Salesforce实例连接，使组织能够将对话、潜在客户和支持案例同步至CRM系统。Drift Email则用于管理邮件回复，并整合CRM和营销自动化数据库。

ShinyHunters对BleepingComputer表示，攻击者利用窃取的Drift OAuth令牌，从Salesforce的“账号”“联系人”“案例”“商机”和“用户”等对象表中，盗取了760家公司约15亿条数据。

具体来说，其中约2.5亿条来自账号表，5.79亿条来自联系人表，1.71亿条来自商机表，6000万条来自用户表，约4.59亿条来自案例表。

案例表通常存储公司客户提交的支持工单内容和文本，对于科技公司而言，这类信息往往包含敏感数据。

为证明自己是此次攻击的幕后黑手，相关威胁行为者分享了一份文本文件，其中列出了被攻破的Salesloft GitHub代码库中的源代码文件夹。

BleepingComputer就被窃取的数据量和受影响公司的数量联系了Salesloft，但未获回复。不过，有消息源确认这些数字属实。

攻击者从窃取数据检索敏感信息，试图发起二次攻击

谷歌威胁情报部门（Mandiant）报告指出，攻击者已对窃取的案例数据进行分析，以寻找潜藏的敏感信息，如凭证、身份验证令牌和访问密钥，从而进一步渗透到其他环境。

谷歌解释称：“在数据被外泄后，攻击者会在其中搜寻可能被用来入侵受害者环境的敏感信息。”

“谷歌威胁情报部门观察到，UNC6395特别针对敏感凭证发动攻击，包括亚马逊云计算服务（AWS）的访问密钥（AKIA）、密码以及与Snowflake相关的访问令牌。”

被窃取的Drift和Drift Email令牌已被用于大规模数据盗取行动，受害对象涵盖谷歌、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networks等众多大型企业。

鉴于攻击规模巨大，美国联邦调查局（FBI）近日发布警告，提示UNC6040和UNC6395相关威胁行为者的动向，并共享了在攻击中发现的入侵指标（IOC）。

该团伙还针对谷歌、金融机构等持续发起攻击

上周四，一名自称属于Scattered Spider的威胁行为者在Telegram上表示，他们计划“消失”，并停止进一步讨论相关行动。

在最后一则贴子中，这些威胁行为者声称已攻破谷歌的执法机构请求系统（LERS，用于处理执法部门数据请求）以及FBI的eCheck平台（用于背景调查）。

BleepingComputer就此事联系谷歌，该公司确认其LERS平台确实出现了一个欺诈账号。

谷歌告知BleepingComputer：“我们发现系统中存在一个冒充执法机构请求的欺诈账号，目前已被禁用。”

“该账号未发出任何请求，也未访问任何数据。”

尽管威胁行为者声称将“退场”，但ReliaQuest的研究人员报告称，自2025年7月起，这些组织已开始针对金融机构发动攻击，预计仍会继续。

为防范此类数据盗窃行为，Salesforce提醒客户应遵循安全最佳实践，包括启用多因素认证（MFA）、落实最小权限原则，并谨慎管理已连接的应用程序。

参考资料：https://www.bleepingcomputer.com/news/security/shinyhunters-claims-15-billion-salesforce-records-stolen-in-drift-hacks/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。