Eerder dit jaar beweerde een team-up van enkele van de meest beruchte hackgroepen een Salesforce-datalek te hebben uitgevoerd, waardoor bijna 1 miljard records van grote wereldwijde bedrijven werden gestolen. De groep, bekend als verspreide Lapsus $ jagers, heeft nu een website gelanceerd om slachtoffers van de datalek los te laten. Sommige van deze slachtoffers zijn grote technologiebedrijven, zoals CloudFlare, ZScaler, Google en Workday.
Dreigingsacteurs hebben een website gelanceerd om slachtoffers van Salesforce Data Breach af te persen
De losjes georganiseerde groep, bekend als Lapsus $, Scattered Spider en Shinyhunters, heeft een Salesforce Data Breach -site op het Dark Web gepubliceerd. De website beoogt slachtoffers van de datalek te drukken om de aanvallers te betalen om de blootstelling van hun gevoelige gegevens online te voorkomen. Verspreide Lapsus $ Hunters ‘website vermeldt verschillende vermeende slachtoffers, zoals FedEx, Hulu en Toyota Motors.
Met name hebben enkele van de grootste bedrijven, waaronder Google, Allianz Life, Kering, Qantas, Stellantis, TransUnion en Workday, bevestigd dat hackers gevoelige informatie hebben gestolen tijdens de Salesforce Data Breach. Momenteel is er geen informatie naar voren gekomen over de vraag of de bedrijven die op de website zijn vermeld, een losgeld aan de aanvallers hebben betaald om de publicatie van hun gegevens online te voorkomen.
“Neem contact met ons op om de controle over gegevensbeheer te herwinnen en openbaarmaking van uw gegevens te voorkomen,” leest de site. “Wees niet de volgende kop. Alle communicatie vraagt strikte verificatie en zal met discretie worden behandeld.”
Salesforce zegt dat zijn platform ongecomprimeerd blijft
Salesforce stelt dat de datalek niet is gebeurd door een compromis van zijn platform. Het was te wijten aan social engineering -aanvallen op Salesforce -gebruikers. Salesforce verklaarde verder dat dit gegevenslek niet gerelateerd is aan een bekende kwetsbaarheid. Het bedrijf weigerde te bevestigen of losgeldbesprekingen hadden plaatsgevonden met de dreigingsacteurs.
Het incident is voornamelijk afkomstig van een compromis van een applicatie van derden, de driftintegratie van SalesLoft. Aanvallers hebben deze integratie met succes overtreden om oauth te stelen en tokens te vernieuwen. Aanvallers gebruikten deze API Access-verlenenstokens om de gebruikers van de aangepaste applicatie te richten.
Dat gezegd hebbende, deze hackers hebben een lijst met 39 bedrijven op hun site gepubliceerd die de datalek heeft beïnvloed. Ze hebben een deadline van 10 oktober gegeven aan de slachtoffers van de inbreuk om ‘openbaarmaking van hun gegevens van hun gegevens te’ te voorkomen ‘.
