惊天十亿记录勒索:高风险勒索震动赛富时世界
攻击者利用OAuth漏洞和传统欺诈手段窃取企业数据,在2025年10月10日截止日期临近之际,企业陷入困境。
在过去几周,一场近期记忆中最胆大妄为的网络勒索行动让赛富时(Salesforce)处于尴尬的境地。这家估值2500亿美元的客户关系管理(CRM)巨头并未被指控遭受直接入侵。相反,攻击者找到了一种巧妙的方式,利用其生态系统中的信任进行攻击。
这个自称“Scattered LAPSUS$ Hunters/ShinyHunters”的组织声称,他们从大约40家通过赛富时运营业务的公司窃取了近10亿条记录。他们索要近10亿美元,并威胁称如果无人支付,将在2025年10月10日之前将数据全部公开。
这并非简单的软件故障案例,而是一个关于人类行为、第三方应用程序周边薄弱的防护措施,以及攻击者如何将日常信任转化为他们最锋利工具的故事。
窃案如何展开
谷歌威胁情报小组的调查人员和独立分析师共同还原了此次攻击的作案手法。攻击始于八月,黑客将目标锁定在与Salesloft Drift相关的OAuth令牌上。Salesloft Drift是一款广受欢迎的销售互动应用程序,与无数赛富时环境相连接。一旦成功入侵,被窃取的令牌使他们能够通过普通的API调用,以看似合法的方式提取客户数据——这在初期并不会立即触发警报。
获取这些令牌并不需要全新的漏洞利用手段。相反,攻击者利用了“语音钓鱼”(vishing)——通过电话冒充IT人员。员工误以为是在协助日常支持工作,从而批准了带有广泛权限的恶意应用程序。有了这些批准,黑客便能悄无声息地提取海量数据集,而对自动化系统而言,这一切都看似正常业务操作。
安全研究人员表示,这些指纹与UNC6040和Scattered Spider等已知组织相符,这两个组织都因擅长社会工程学而非技术高超而臭名昭著。直到研究人员验证了泄露的数据样本后,此次攻击行动的惊人规模才得以浮出水面。
赛富时反击
从一开始,赛富时就坚称其核心基础设施并未受到影响。公司官员强调,此次泄露事件源于第三方集成和被电话诈骗所蒙骗的客户,而非赛富时自身的多租户系统。
为了表明其严肃态度,赛富时引入了外部调查取证专家,联系了执法部门,撤销了受损的OAuth令牌,并在审查期间将可疑应用程序从其AppExchange应用市场下架。他们还敦促客户加强多因素认证(MFA),审计应用程序权限,并密切关注异常数据导出行为。
从技术层面来看,赛富时的辩解站得住脚。然而,公众感知却可能是另一回事。在新闻标题中,“赛富时泄露”比“客户配置错误”更能吸引眼球。该公司现在必须说服客户和公众,真正的弱点存在于其平台之外。
跨行业影响
受害者名单堪称各行业巨头的“名人录”,包括金融、医疗、零售和科技领域。云耀斑(Cloudflare)已承认,其与赛富时相关的客户支持数据在8月12日至17日期间遭到暴露。其他公司则保持沉默,可能正忙于法律审查和损害控制。
这些数据之所以如此危险,不仅在于其庞大的数量。赛富时的“工单”(即支持请求)通常包含登录凭证、API密钥以及其他攻击者可用于更深层入侵的关键信息。换句话说,被窃取的工单不仅仅是投诉,它们是黑客的藏宝图。
信任、金钱与便利的代价
这一事件揭示了现代企业面临的一个棘手现实。企业越是依赖庞大的应用生态系统来提高生产力,其潜在的安全成本就越高。
分析师认为,赛富时本身可能不会遭受太大的经济损失。客户很少会一夜之间放弃CRM系统,尤其是在签订了多年合同的情况下。但采购团队现在可能会拖延不决,要求在签署协议前获得更严格的安全保障。
对赛富时而言,也存在一线希望。对Shield加密和高级监控工具等高端安全附加组件的需求可能会上升,这些工具可帮助客户监控其数据的使用情况。除了赛富时,身份治理平台和SaaS安全态势工具也可能迎来一波新的支出。简而言之,那些能够帮助监管第三方访问这个复杂网络的公司将大获全胜。
倒计时:10月10日临近
黑客设定的截止日期正在迅速临近。如果以过去的勒索行动为鉴,他们可能会零星泄露样本以保持高压,或者一鸣惊人地一次性倾倒所有数据。受害者将权衡何者更痛苦:支付赎金还是让数据公之于众。
与此同时,赛富时正争分夺秒地推出更强大的默认安全措施。有报道称,他们正在努力收紧OAuth权限,缩短令牌有效期,并实施更严格的应用程序白名单。如果这些改变能够迅速落地,这场声誉危机可能转化为信誉提升,展现赛富时在危机中快速适应的能力。
保险公司也没有袖手旁观。一些公司已经开始将赛富时安全卫生状况纳入续保文件,推动客户采取更好的防护措施。讽刺的是,推动最快变革的可能不是监管,而是金钱。
对投资者的意义
对投资者而言,核心要点很明确:不要将耸人听闻的头条新闻与破产的商业模式混为一谈。除非出现真正的平台缺陷,否则赛富时长期优势依然稳固。任何短期的股价下跌甚至可能被视为买入机会。
然而,更广泛的SaaS领域可能会感受到一股寒意。随着企业重新评估风险,预计应用程序集成审批将变得缓慢。另一方面,那些能够证明自己在OAuth治理和访问控制方面表现出色的供应商,可能会获得更高的估值。
归根结底,这一事件强化了零信任模式和持续访问检查日益增长的吸引力。缺乏强大合规计划的小型应用程序供应商可能会发现自己陷入采购困境。
更广阔的视角
此次勒索尝试凸显了一个残酷的事实:在云时代,最大的风险往往通过信任连接而非开放端口悄然潜入。数据不再仅仅通过防火墙有序流动,它穿梭于数十个相互连接的应用程序之间,每一个都是潜在的薄弱环节。
对企业而言,教训显而易见。仅仅守住前门已不再足够。你还必须警惕那些以提高生产力之名而开启的“后门”——因为攻击者无疑正在虎视眈眈。