勒索黑客團伙從 Salesforce CRM 中竊取高達15億條數(shù)據(jù)，涉及760家公司，不過很多公司到現(xiàn)在都沒發(fā)布聲明。ShinyHunter 是此次攻擊的幕后黑手，日前該黑客團伙與 BleepingComputer 交談詳細說明竊取的數(shù)據(jù)細節(jié)，還提供 Salesloft Drift 源代碼文件夾證明自己的身份。

近期勒索黑客團伙 ShinyHunter 利用安全漏洞竊取海量的 Salesforce CRM 數(shù)據(jù)，遭到攻擊的公司包括谷歌、Cloudflare、捷豹路虎等大量知名企業(yè)，但沒人知道真正泄露的數(shù)據(jù)有多少。

發(fā)生這些問題的根源是美國營銷公司 Salesloft，該公司的 Drift 平臺出現(xiàn)安全漏洞導(dǎo)致黑客可以竊取 OAuth 令牌，不少公司將 Salesforce CRM 與 Drift 連接互通數(shù)據(jù)，于是黑客可以直接通過 Salesloft 獲取 Salesforce CRM 中的數(shù)據(jù)。

現(xiàn)在發(fā)起這些攻擊的黑客與安全網(wǎng)站 BleepingComputer 進行交談并透露細節(jié)：

攻擊方式確實是通過 Salesloft Drift OAuth 獲取的令牌，隨后利用令牌從企業(yè)的 Salesforce CRM 數(shù)據(jù)庫中竊取賬戶、聯(lián)系人、案例、銷售機會、用戶等數(shù)據(jù)表的數(shù)據(jù)。

合計獲得的企業(yè)共有760家，總數(shù)據(jù)條目高達15億條，其中約有2.5億條來自客戶數(shù)據(jù)條、5.79億條來自聯(lián)系人數(shù)據(jù)表、1.71億條來自商機數(shù)據(jù)表，6000萬條來自用戶數(shù)據(jù)表，還有4.59億條來自 Case Salesforce 數(shù)據(jù)表。

為了證明自己的身份，黑客向 BleepingComputer 共享了被攻擊的 Slaesloft GitHub 存儲庫中的源代碼文件夾，這也是黑客攻擊的起始點，不過 Salesloft 至今沒有透露詳細的攻擊細節(jié)。

可以看到此次攻擊涉及的范圍非常廣且數(shù)據(jù)量極大，谷歌被竊取的是部分企業(yè)信息不算是敏感內(nèi)容，Cloudflare 被竊取的是工單內(nèi)容并且部分包含令牌，Cloudflar 已經(jīng)通知受害者輪換令牌避免黑客利用令牌繼續(xù)入侵。

其他公司發(fā)布通知或說明的就比較少了，但可以預(yù)見的是此次攻擊造成的影響應(yīng)該是非常大的，只不過這些公司沒有透露細節(jié)或者壓根不聲明自己數(shù)據(jù)已經(jīng)被竊取，所以受影響的用戶可能也不知道數(shù)據(jù)已經(jīng)泄露了。