云计算巨头Salesforce于2025年10月7日向客户发出通知,在一场大规模数据泄露事件中坚决拒绝支付黑客勒索赎金。黑客团体"Scattered Lapsus$ Hunters"声称掌握近10亿条客户记录,涉及丰田、联邦快递、迪士尼、谷歌等数十家全球知名企业,并威胁若在10月10日最后期限前未得到赎金,将公开所有被盗数据。

这起事件被安全专家称为"针对企业软件平台最重大的供应链攻击之一",其攻击手法的复杂性和影响范围前所未有。

复杂攻击链:从语音钓鱼到OAuth劫持

攻击者的精密策略

黑客团体

  • 主要组织:Scattered Lapsus$ Hunters
  • 核心成员:ShinyHunters、Lapsus$、Scattered Spider
  • 特点:臭名昭著的专业网络犯罪团体

语音网络钓鱼(Vishing)入口

FBI于9月发布的"闪电警报"披露了攻击的起点:

攻击流程

  1. 身份伪装:攻击者冒充IT员工
  2. 社会工程:诱骗员工在公司Salesforce门户授权应用
  3. 恶意OAuth应用:植入恶意的连接应用程序
  4. 绕过防御:突破多因素认证(MFA)、密码重置和登录监控

FBI警告:“威胁行为者已经欺骗受害者,在其组织的Salesforce门户授权恶意的连接应用程序。这种方法绕过了许多传统防御措施。”

Salesloft Drift的致命漏洞

攻击时间线

  • 2025年8月8日-18日:系统化查询Salesforce数据库
  • 攻击工具:Salesloft的Drift AI聊天机器人应用中被泄露的OAuth令牌
  • 目标数据:AWS访问密钥、密码、Snowflake令牌等敏感信息

技术细节(谷歌威胁情报小组披露)

  • 利用第三方集成OAuth令牌非法访问
  • 系统化查询Salesforce客户环境
  • 试图删除查询任务掩盖踪迹
  • 无法清除审计日志,留下证据痕迹

攻击特点

不是Salesforce核心系统的直接入侵

  • 利用第三方集成漏洞
  • OAuth令牌劫持的供应链攻击
  • 绕过传统安全防护的社会工程

受害者名单:全球顶级企业

暗网勒索网站公布的受害者

10月3日上线的勒索网站列出了高调受害者:

科技巨头

  • 谷歌
  • 思科
  • Cloudflare
  • Zscaler
  • 帕洛阿尔托网络

传统企业

  • 丰田(汽车制造)
  • 联邦快递(物流)
  • 迪士尼(娱乐)
  • TransUnion(征信)
  • Workday(人力资源软件)

奢侈品牌

  • 路易威登
  • 迪奥
  • 香奈儿

被盗数据规模

黑客声称掌握的数据:

  • 公司数量:760家
  • 总记录数:15亿+
  • 账户数:2.54亿
  • 联系人数:5.79亿
  • 商机数:1.71亿

公开确认的受害者

已公开承认今年受到与Salesforce相关数据泄露影响的公司:

  • TransUnion
  • Workday
  • 谷歌

前所未有的勒索手段

向平台供应商直接施压

传统勒索 vs 新模式

  • 传统:勒索单个受害企业
  • 新模式:要求Salesforce公司为所有客户支付"保护费"

勒索网站警告:“联系我们,以重新掌控数据治理并防止您的数据被公开披露。”

法律诉讼威胁

AppOmni首席技术官Brian Soby评论:“这代表了首次有攻击者威胁要参与或利用针对被攻陷平台供应商的现有诉讼。”

黑客的双重威胁

  1. 公开被盗数据
  2. 与GDPR法规下针对Salesforce提起民事诉讼的律所合作

Salesforce的强硬立场

官方声明

  • “没有迹象表明Salesforce平台已被攻破”
  • “没有任何活动与我们技术中的已知漏洞有关”
  • 将此次勒索归为"过去或未经证实的事件"
  • “与受影响客户保持沟通,提供支持”

不妥协策略

  • 明确拒绝支付赎金
  • 强调攻击源于第三方集成而非核心系统
  • 坚持协助客户应对而非向黑客妥协

10月10日最后期限的紧迫威胁

潜在影响

网络安全专家警告,任何数据泄露可能导致:

直接风险

  • 大规模网络钓鱼攻击
  • 身份窃取和欺诈
  • 企业商业机密泄露

次生风险

  • 利用被盗个人信息发起的复杂AI驱动攻击
  • 针对性社会工程攻击
  • 供应链进一步渗透

企业应对建议

受影响组织的紧急措施

  1. 审查所有OAuth授权应用
  2. 撤销可疑的第三方集成权限
  3. 重置关键系统凭证
  4. 加强员工安全培训(防范语音钓鱼)
  5. 监控异常账户活动

供应链攻击的深层启示

OAuth令牌的系统性风险

技术漏洞

  • OAuth令牌一旦被窃,可长期有效
  • 绕过多因素认证(MFA)
  • 难以被传统安全工具检测

防御挑战

  • 第三方集成数量庞大
  • 每个集成都是潜在攻击面
  • 审计和监控复杂度高

社会工程的持续威胁

语音钓鱼的有效性

  • 利用人性弱点而非技术漏洞
  • 技术防御难以完全阻止
  • 员工安全意识培训至关重要

FBI警报的意义

  • 官方认可这类攻击的严重性
  • 全行业需要提高警惕
  • 传统防御措施(MFA、密码重置)被绕过

SaaS平台的责任边界

争议焦点

  • Salesforce强调"平台未被攻破"
  • 但第三方集成是其生态重要组成
  • 谁应对第三方集成安全负责?

行业标准缺失

  • OAuth应用审核标准不统一
  • 第三方集成安全审计机制薄弱
  • 需要更严格的生态管理

行业影响与未来趋势

企业SaaS安全的重新审视

信任模型的挑战

  • 零信任架构的必要性
  • 第三方集成的最小权限原则
  • 持续监控和异常检测

合规压力加剧

  • GDPR等数据保护法规的更严执法
  • 集体诉讼风险增加
  • 客户对SaaS供应商的安全要求提高

勒索软件的战术演进

从单点勒索到平台勒索

  • 攻击供应链枢纽而非单个企业
  • 一次攻击影响数百家公司
  • 勒索效率和影响力倍增

法律战术的创新

  • 利用监管诉讼施压
  • GDPR等法规成为黑客杠杆
  • 法律与技术攻击的结合

网络保险的困境

承保范围争议

  • 供应链攻击的责任归属
  • 第三方集成导致的损失是否承保
  • 保费可能大幅上涨

结语:SaaS生态安全的转折点

Salesforce数据泄露事件不仅是一次大规模网络攻击,更是SaaS生态安全模式的重要警示。当黑客开始将勒索目标从单个企业转向平台供应商,整个云计算产业的安全架构需要根本性反思。

10月10日的最后期限即将到来,Salesforce的强硬立场是否会导致大规模数据公开,760家企业如何应对潜在泄露,这些问题的答案将在未来数天揭晓。

对于企业IT决策者而言,这起事件的核心教训是:**在云时代,你的安全不仅取决于自己的防御,更取决于生态链上每一个环节的安全。**语音钓鱼、OAuth劫持、供应链攻击——这些并非理论威胁,而是正在发生的现实。

现在是重新审视第三方集成、加强员工培训、建立零信任架构的时候了。否则,下一个10月10日的最后期限,可能就轮到你的公司了。

参考资料: