Plus tôt cette année, une équipe de certains des groupes de piratage les plus tristement célèbres a affirmé avoir effectué une violation de données Salesforce, volant près d'un milliard de dossiers des grandes entreprises mondiales. Le groupe, connu sous le nom de Hunters de la lapsus dispersés, a maintenant lancé un site Web pour rançons les victimes de la violation de données. Certaines de ces victimes sont de grandes entreprises technologiques, comme CloudFlare, Zscaler, Google et Workday.
Les acteurs de la menace ont lancé un site Web pour extorquer des victimes de violation de données Salesforce
Le groupe vaguement organisé, connu sous le nom de lapsus $, Sported Spider et Shinyhunters, a publié un site de violation de données Salesforce sur le Dark Web. Le site Web cherche à faire pression sur les victimes de la violation de données en payant les attaquants pour empêcher l'exposition de leurs données sensibles en ligne. Le site Web de Hunters de Lapsus $ Hunters mentionne plusieurs victimes présumées, telles que FedEx, Hulu et Toyota Motors.
Notamment, certaines des plus grandes entreprises, dont Google, Allianz Life, Kering, Qantas, Stellantis, TransUnion et Workday, ont confirmé que les pirates ont volé des informations sensibles pendant la violation de données Salesforce. Actuellement, aucune information n'est apparue pour savoir si les sociétés répertoriées sur le site Web ont rendu une rançon aux attaquants pour empêcher la publication de leurs données en ligne.
«Contactez-nous pour reprendre le contrôle de la gouvernance des données et prévenir la divulgation publique de vos données», « lit le site. «Ne soyez pas le prochain titre. Toutes les communications exigent une vérification stricte et seront gérées avec discrétion.»
Salesforce affirme que sa plate-forme reste sans compromis
Salesforce stipule que la violation de données ne s'est pas produite par un compromis de sa plate-forme. Cela était dû à des attaques d'ingénierie sociale ciblant les utilisateurs de Salesforce. Salesforce a en outre déclaré que cette fuite de données n'était liée à aucune vulnérabilité connue. Le cabinet a refusé de confirmer si des pourparlers de rançon avaient eu lieu avec les acteurs de la menace.
L'incident provenait principalement d'un compromis d'une application tiers, l'intégration de la dérive de Salesloft. Les attaquants ont réussi à violer cette intégration pour voler des jetons OAuth et actualiser. Les attaquants ont utilisé ces jetons d'accès à l'accès à l'API pour cibler les utilisateurs de l'application personnalisée.
Cela dit, ces pirates ont publié une liste de 39 entreprises sur leur site que la violation de données a eu un impact. Ils ont donné une date limite du 10 octobre aux victimes de la violation pour contacter «empêcher la divulgation publique» de leurs données.
