Sekojiet zdnet: Pievienojiet mūs kā vēlamo avotu Google.
ZDNET galvenie pārņemšana
- Hakeri pieprasa 1 miljarda ierakstu zādzību no Salesforce datu bāzēm.
- Lielākās firmas, piemēram, Google, Qantas un TransUnion, apstiprina pārkāpumus.
- FBI saka, ka uzbrucēji izmantoja Vinging, nevis Salesforce ievainojamības.
Hakeru grupa apgalvo, ka tā nozaga aptuveni 1 miljardu ierakstu no desmitiem uzņēmumu, kas glabā savus klientu datus mākoņa datu bāzēs, kas atrodas Salesforce. Hakeri, kā ziņots, izveidoja vietni tumšajā tīmeklī, ko ir redzējuši drošības pētnieki un TechCrunch. Tajā ir uzskaitīti upuru uzņēmumi un draud atbrīvot nozagtus datus, ja tas nesaņem samaksu.
Kas ir aiz šī uzbrukuma?
Kampaņa ir saistīta ar jaunu kibernoziegumu aliansi, ko sauc par Izkliedēti Lapsus $ medniekikas apvieno izkliedēto zirnekļa, Lapsus $ un Shinyhunters locekļus-trīs no bēdīgi slavenākajām angliski runājošajām hakeru grupām, kuras šodien aktīvi darbojas.
Grupa, domājams, ielauzās mākoņu datu bāzēs, ko daudzi uzņēmumi izmantoja Salesforce platformā, un nozaga milzīgu klientu datu daudzumu. Saskaņā ar TechCrunchviņi apgalvo, ka kopumā ir aptuveni 1 miljards ierakstu. Savā vietnē viņi ievietoja brīdinājumu, kurā uzņēmumiem teikts, ka “sazinās ar mums, lai atgūtu kontroli … un neļautu publiski atklāt jūsu datus”.
Arī: Datu zagšana kiberuzbrukumu strauji pieaug – 7 veidi, kā aizsargāt sevi un savu biznesu
Rezecēšana ziņoja, ka izkliedētie Lapsus $ Hunters vadīja arī telegrammas kanālu, kas tagad ir aizliegts, kur dalībnieki koordinēja draudus, ķircināja noplūdes un reklamēja jaunus ransomware-as-a-pakalpojuma rīkus. Tiek ziņots, ka izkliedētais zirneklis nodrošināja sākotnējo piekļuvi mērķiem, Shinyhunters pārvaldīja datu zādzības un izgāztuves, un piedalījās arī Lapsus $ dalībnieki, un visas trīs grupas kopā strādāja pie augsta profila kampaņām, piemēram, Salesforce datu bāzes pārkāpumiem.
Kurus uzņēmumus skāra?
Vairāki uzņēmumi nesen apstiprināja, ka hakeri nozaga klientu datus no savām Salesforce balstītajām datu bāzēm.
Zemāk ir apstiprināto incidentu saraksts līdz šim.
- Apdrošināšanas gigants Allianz dzīve apstiprināja pārkāpumu, kas ietekmē lielāko daļu no 1,4 miljoniem ASV klientu.
- Google draudu izlūkošanas grupa Atzina uz Salesforce balstītu datu noplūdi.
- Luksusa preces konglomerāts Kerings apstiprināja līdzīgu pārkāpumu.
- Qantas atklāja, ka tika ietekmēti apmēram 5,7 miljoni klientu ierakstu.
- Autoražotājs Stellantis Uzņemts “trešās puses datu incidents”.
- Kredītu birojs TransUnion atklāja, ka ir atklāti 4,4 miljoni ASV patērētāju datu.
- Darba diena atzina, ka tā klientu dati ir nozagti.
TechCrunch sacīja, ka hakeru noplūdes vietne nosauc citus lielus zīmolus, piemēram, FedEx, Hulu un Toyota, taču viņiem vēl nav publiski jākomentē.
Kā tas jūs ietekmē?
Ja esat kāda no iesaistītajiem uzņēmumiem klients, jūsu personas dati, iespējams, ir pakļauti pārkāpumam. Šie dati varētu ietvert vārdus, e -pasta adreses, tālruņu numurus un dažos gadījumos sociālās apdrošināšanas numurus.
Arī: Kiberuzbrukumi, Salesforce saskaras ar uzticības problēmu un potenciālo tiesas procesu
Allianz Life paziņoja, ka tā pārkāpums, kas ietekmēja 1,4 miljonus cilvēku, ietvēra jutīgas detaļas, piemēram, sociālās apdrošināšanas numurus. Uzņēmums piedāvā divu gadu bezmaksas identitātes zādzību un kredīta uzraudzības pakalpojumus skartajiem. Credit score Bureau TransUnion arī ziņoja, ka tika atklāti 4,4 miljoni klientu personas dati – ieskaitot vārdus un sociālās apdrošināšanas numurus.
Ir vērts pārskatīt katra uzņēmuma paziņojumu, lai redzētu, kāda veida dati tika nozagti un kā pārbaudīt, vai jūs esat ietekmējis.
Kā hakeri ielauzās?
12. septembrī FBI izdeva a Zibspuldze Par draudiem aktieriem, kuri bija ieguvuši sākotnējo piekļuvi organizāciju Salesforce kontiem. Tajā teikts, ka viņi izmantoja sociālās inženierijas taktiku, piemēram, balss pikšķerēšanu (vai vingrošanu). Google Drošības pētnieki paskaidroja Kā hakeris uzdodas par IT atbalstu personālam pa tālruni, piemēram, lai piekļūtu Salesforce datu bāzei.
Arī: kas ir Verings? Balss pikšķerēšana palielinās – ekspertu padomi, kā to pamanīt un apturēt
Kad uzbrucējiem bija derīgi pieteikšanās akreditācijas dati, viņi varētu izmantot paša Salesforce datu eksporta rīkus, lai ievilktu lielu informācijas daudzumu. Citiem vārdiem sakot, uzbrucēji izmantoja cilvēku kļūdas, nevis pašas Salesforce neaizsargātību.
Vai Salesforce platforma ir apdraudēta?
Salesforce sacīja, ka nē, šie uzbrukumi neapdraud tās platformu.
Kamēr hakeri savā noplūdes vietā pieminēja Salesforce pēc nosaukuma – būtībā prasīja, lai Salesforce sarunātos vai arī visi jūsu klientu dati tiks noplūduši ”, kā ziņoja TechCrunch, Salesforce apgalvo, ka tās infrastruktūra netika tieši pārkāpta.
Arī: Kibernoziedznieki zog biznesa pārdošanas datus ar šo vienkāršo triku – nekrīt par to
Publiskā paziņojumāSalesforce apstiprināja, ka tas “apzinās nesenos izspiešanas mēģinājumus”, guess līdz šim nav norādes, ka Salesforce platforma ir apdraudēta, kā arī šī darbība “nav saistīta ar zināmu mūsu tehnoloģijas neaizsargātību”.
Visi pierādījumi norāda uz uzbrucējiem, kuri ļaunprātīgi izmanto nozagtus akreditācijas datus un uzdodas lietotājiem, izmantojot Veringu, lai iekļūtu datu bāzēs, nevis uzlauztu Salesforce sistēmas. Salesforce sacīja, ka tā ir sadarbojusies ar skartajiem uzņēmumiem, lai sniegtu atbalstu.
Vai mēs jau iepriekš esam redzējuši šāda veida izspiešanu?
Diemžēl jā – šī playbook ir pārāk pazīstama. Crowdstrike 11. ikgadējais 2025. gada globālais draudu ziņojumspiemēram, atklājās, ka Veringa uzbrukumi 2024. gada otrajā pusē pieauga par 442%, salīdzinot ar pirmo. Gada laikā uzņēmums izsekoja vismaz sešas atsevišķas kampaņas, kurās uzbrucēji pozēja kā IT darbinieki un sauca darbiniekus dažādās organizācijās.
Arī: Kāds izmantoja AI, lai uzdotos par valsts sekretāru – kā pārliecināties, ka neesat nākamais
Crowdstrike sacīja, ka uzņēmumi var stiprināt savu aizsardzību pret Veringu, pieprasot stingrāku pārbaudi par paroles atiestatīšanu, piemēram, video autentifikāciju un valdības ID, un apmācot palīdzības dienesta darbiniekus, lai pamanītu aizdomīgus pieprasījumus, it īpaši tos, kas atrodas ārpus parastajām stundām. Tas arī ieteica izmantot uzlabotas autentifikācijas metodes, piemēram, FIDO2 un sistēmu atjaunināšanu ar plāksteriem.
Iegūstiet rīta labākos stāstus katru dienu ar mūsu iesūtni Tech šodien biļetens.
