在全球資安事件頻傳的此刻,駭客組織ShinyHunters再度成為焦點。此篇文章揭露,他們聲稱透過Salesloft Drift的弱點,成功竊取多達760家企業的 Salesforce資料庫,共計近15億筆用戶資料,涵蓋帳號、聯絡人、案例、機會及使用者等敏感資訊,規模驚人。
文章指出,今年8月起,Google、思科、安聯人壽等知名企業陸續公告客戶資料外洩,Google更明確點出CRM系統Salesforce遭駭。經Mandiant調查,攻擊者利用Salesloft Drift的OAuth權杖存取系統,自8月8日至18日期間竊走資料,甚至涉及內部關鍵系統。研究團隊將這些駭客歸類為UNC6040與UNC6395,犯案者自稱ShinyHunters與Scattered Spiders,後來更聲稱與Lapsus$組織整合為Scattered Lapsus$ Hunters。ShinyHunters 對媒體公開細節,承認他們最初透過TruffleHog等開源工具掃描外洩憑證,最後取得Salesloft GitHub儲存庫存取權,藉此拿到API金鑰、權杖與密碼。隨後,這些憑證被用來串接Salesforce,進一步侵入客戶資料庫。更令人擔憂的是,Salesforce的案例表格中,可能包含AWS、Snowflake等關鍵雲端服務的存取憑證,代表受害規模遠不只CRM資料外洩。
文章同時揭露,受影響的不只是一般企業,連資安業者如Cloudflare、Zscaler、Tenable、Palo Alto Networks等都在受害名單內。Google甚至證實,駭客還在其執法請求系統(LERS) 建立假帳號,進一步凸顯攻擊者的滲透深度與膽識。這場攻擊不僅展現駭客如何從開源工具、開發者憑證一路滲透到企業核心系統,更拋出一個值得深思的問題:當供應鏈與SaaS平台成為新的攻擊入口,全球企業是否已做好應對「第三方憑證外洩」帶來的連鎖資安風險。
