Google在Shinyhunters攻击中确认Salesforce的数据泄露

在正在进行的网络安全活动中的一项新开发中，Google承认了黑客集团Shinyhunters进行的一项Salesforce系统中的数据泄露。

违规行为发生在6月初，损害了Google的内部Salesforce实例之一，暴露了与中小型企业有关的联系信息和注释。当时，Google的威胁情报集团（GTIG）已经警告过这种威胁，将攻击者称为“ UND6040”，这是一个以财务动机的集团，其勒索部门为“ UND6240”。

了解更多：澳航通知570万客户数据泄露

现在，在更新这家科技巨头在其原始帖子中承认它已成为目标。根据GTIG的说法，被盗的数据仅限于“基本且在很大程度上可公开可用”的业务信息，例如业务名称和联系方式。据报道，入侵是简短的，检测后很快切断了访问。

Google的更新说：“ 6月，Google的公司Salesforce实例之一受到本文中描述的类似UNC6040活动的影响。Google对该活动做出了反应，进行了影响分析并开始缓解。”

“该实例用于存储中小型企业的联系信息和相关说明。分析显示，威胁参与者在访问访问之前的一小时时间窗口中检索了数据。”

谁是Shinyhunters？

著名的勒索小组Shinyhunters已与一系列备受瞩目的漏洞联系在一起，包括在Snowflake，AT＆T，Nitropdf和Powerschool。今年夏天，他们声称在阿迪达斯，澳航，安联生活，思科，迪奥，路易威登和潘多拉等公司损害销售大力数据的责任。

这次，他们使用语音网络钓鱼或“待钓钓鱼”来欺骗员工放弃对Salesforce等云服务的访问。

扩大的攻击网络

Google的违规只是Shinyhunters窃取和武器化Salesforce数据的一项更大的活动。据报道，该小组使用社会工程策略，例如在说服电话期间摆姿势支持，以欺骗员工交出证书或批准与公司Salesforce帐户相关的伪造应用程序。

进入内部后，他们会部署自定义脚本或修改后的Salesforce数据加载程序，以悄悄提取敏感业务数据。

在某些情况下，攻击者使用这些工具的修改版本，这些工具被伪装成“我的售票门户”之类的名称来匹配他们在网络钓鱼电话中使用的借口。

重要的是，这些攻击并不能利用Salesforce本身的任何缺陷。该平台保持安全。取而代之的是，黑客依靠人为错误，例如操纵用户放弃凭据或批准恶意连接的应用程序。

然后，被盗数据用于赎金需求，公司收到威胁性的电子邮件要求在72小时内付款，或者有可能在线泄露信息。在某些情况下，公司已经支付了巨额费用以防止发布敏感信息，据报道，一家公司支付了40万美元，以防止其数据被泄漏。 

Google的回应

为了帮助组织保护自己免受此类社会工程攻击，尤其是涉及Salesforce数据加载器等工具的攻击，Google分享了多种关键的安全措施，包括：

• 限制访问Salesforce数据加载程序和连接的应用程序
• 使用基于IP的访问限制
• 普遍执行多因素身份验证（MFA）
• 监视大数据下载
• 根据角色限制权限

Google总结说：“通过实施这些措施，组织可以显着加强其针对葡萄钓鱼类型和UNC6040数据剥离运动的安全姿势。”