Salesforce potwierdza, iż nie zamierza płacić ani negocjować z grupą cyberprzestępców, którzy stoją za serią kradzieży danych obejmującą dziesiątki globalnych marek. Hakerzy żądali okupu za niemal miliard rekordów klientów, a wśród ofiar znalazły się takie firmy jak Google, FedEx, Marriott, Cisco, Disney czy IKEA.
W e-mailu wysłanym do klientów 7 października Salesforce poinformowało, iż „nie będzie angażować się w żadne negocjacje ani płacić jakiegokolwiek okupu”. Firma dodała, iż według wiarygodnych źródeł wywiadowczych hakerzy planowali ujawnienie skradzionych danych. Oświadczenie potwierdzono także w rozmowie z serwisem BleepingComputer.
Ataki na 39 globalnych firm i miliard rekordów danych
Za serię ataków odpowiada grupa Scattered Lapsus$ Hunters, powiązana z wcześniejszymi kampaniami „Lapsus$” i „ShinyHunters”. Przestępcy uruchomili stronę z żądaniem okupu w domenie breachforums[.]hn, inspirowaną znanym forum hakerskim BreachForums, na której wymienili 39 firm – od FedEx i McDonald’s, po Chanel, Air France-KLM i HBO Max.
Według hakerów łączna liczba skradzionych rekordów miała sięgać blisko 1 miliarda, a dane miały zostać opublikowane, jeżeli żadna ze spółek, lub Salesforce, nie zapłaci żądanego okupu obejmującego wszystkie ofiary.
Źródła branżowe podają, iż część infrastruktury grupy mogła zostać przejęta przez FBI. Strona hakerów została wyłączona, a domena korzysta w tej chwili z serwerów nazw używanych wcześniej przez amerykańskie służby do konfiskat stron w darknecie.
Dwa etapy ataków na Salesforce
Według ustaleń BleepingComputer i Bloomberga kradzież danych przebiegała w dwóch kampaniach.
Pierwsza fala rozpoczęła się pod koniec 2024 roku. Cyberprzestępcy podszywali się pod pracowników działów IT i nakłaniali ofiary do połączenia złośliwej aplikacji OAuth z korporacyjną instancją Salesforce. Po uzyskaniu dostępu hakerzy pobierali kompletne bazy danych klientów, które następnie wykorzystywali do prób szantażu.
Ofiarami tej kampanii padły m.in. Google, Cisco, Qantas, Adidas, Allianz Life, Workday oraz koncern LVMH (marki Dior, Louis Vuitton i Tiffany & Co.).
Drugi etap, trwający od sierpnia 2025 roku, był jeszcze bardziej złożony. W tym przypadku napastnicy wykorzystali wykradzione tokeny OAuth z platform SalesLoft i Drift, aby dostać się do środowisk CRM klientów Salesforce. Skupiali się na kradzieży danych z systemów wsparcia technicznego, analizując zgłoszenia w poszukiwaniu haseł, tokenów API i kluczy uwierzytelniających.
Według deklaracji grupy ShinyHunters, tylko w tej drugiej kampanii udało im się pozyskać 1,5 miliarda rekordów z ponad 760 firm. Wśród poszkodowanych znalazły się tak znane marki jak Cloudflare, Palo Alto Networks, CyberArk, Proofpoint, Nutanix, Qualys, Zscaler, Rubrik czy Tenable.
Presja rośnie, ale Salesforce się nie ugina
Choć eksperci ds. bezpieczeństwa podkreślają, iż ujawnienie tak ogromnych wolumenów danych może mieć skutki porównywalne z atakami SolarWinds czy MOVEit, decyzja Salesforce o braku negocjacji spotkała się z uznaniem w branży.
Dla firm korzystających z Salesforce i powiązanych narzędzi CRM oznacza to konieczność audytu uprawnień OAuth, rotacji tokenów API oraz wdrożenia dodatkowych zabezpieczeń uwierzytelniania. Eksperci oceniają, iż konsekwencje ataku mogą być odczuwalne jeszcze przez wiele miesięcy, zarówno w wymiarze reputacyjnym, jak i operacyjnym.
