Când marile companii descoperă că datele clienților le-au fost compromise, ecoul se răspândește rapid în discuțiile despre securitate și responsabilitate. Zvonurile recente despre un grup care susține că a sustras aproape 1 miliard de înregistrări de la clienți Salesforce au readus în prim-plan vulnerabilitățile din procesele de acces și ingineria socială, amintind de incidente precum campaniile LAPSUS$ sau breșele atribuite ShinyHunters, care au făcut val în ultimii ani.
Totul a pornit din apeluri telefonice efectuate în mai către angajați ai unor organizații care folosesc platforma Salesforce. Persoanele care sunau, vorbitoare de engleză, ofereau un motiv plauzibil pentru ca destinatarul să conecteze o aplicație controlată de atacatori la portalul Salesforce al companiei. Mai puțin surprinzător, multe dintre ținte au urmat instrucțiunile, ceea ce a permis accesul neautorizat la date. Specialiștii de la Mandiant, care au monitorizat această campanie, au observat modul de operare și au atribuit grupului eticheta UNC6040, deoarece nu au putut stabili cu certitudine legături directe cu alte colective cunoscute.
Pe un site pus online luna aceasta, autorii atacului au publicat o listă ce include nume ca Toyota și FedEx, alături de alți 37 de clienți Salesforce, și au afirmat că au obținut aproximativ 989, 45 milioane de înregistrări, rotunjit aproape la 1 miliard. Mesajul era limpede: Salesforce trebuie să înceapă negocierile pentru o plată de recompensă sau datele clienților vor fi făcute publice. Amenințarea conținea și o condiție clară: dacă Salesforce plătește, celelalte organizații nu ar trebui să suporte costuri. Site-ul a mai fixat un termen limită pentru plată, stabilit pentru o zi de vineri.
Mandiant a comunicat că atacatorii utilizează o combinație de tehnici de inginerie socială și instrumente care facilitează conectarea aplicațiilor terțe la instanțele Salesforce. Acest lucru subliniază un aspect deja discutat în industrie: controalele de autentificare, verificările pentru aplicațiile terțe și instruirea pentru recunoașterea solicitărilor suspecte sunt esențiale. De asemenea, atribuirea precisă a atacului rămâne incertă; grupul pare o fuziune de elemente din colective cunoscute precum Scattered Spider, LAPSuS$ și ShinyHunters, ceea ce explică denumirea autoasumată Scattered LAPSUS$ Hunters.
Răspunsul oficial din partea Salesforce a fost categoric: compania a respins cererea de recompensă. Un reprezentant a transmis prin e-mail că nu va ceda la șantaj. Opțiunea de a plăti atacatorii ridică întrebări practice și etice, plata poate încuraja alte atacuri și nu garantează recuperarea sau protecția completă a datelor. În plus, investigatori precum cei de la Mandiant continuă să evalueze amploarea reală a incidentului și să identifice mecanismele prin care a avut loc accesul, pentru a preveni evenimente similare.
Amenințarea evidențiază două lecții practice: pe de o parte, importanța verificării stricte a oricărei solicitări de conectare a aplicațiilor terțe și instruirea regulată a angajaților pentru a sesiza semnele ingineriei sociale; pe de altă parte, valoarea investigațiilor forense realizate rapid, care pot clarifica ce date au fost accesate și cum pot fi remediate breșele. Numele Toyota, FedEx și cifra de aproape 989, 45 milioane de înregistrări ar trebui să determine organizațiile să-și revizuiască fluxurile de autorizare și monitorizare, nu doar să aștepte comunicate.
Un exemplu practic: companiile care folosesc aplicații terțe pe platforme cloud pot institui politici care impun verificări în mai mulți pași pentru orice nouă integrare, inclusiv aprobări manageriale și scanări de securitate automate. Datele personale sau sensibile ar trebui clasificate, iar accesul restricționat doar la roluri strict necesare. Astfel de măsuri nu sunt nici spectaculoase, nici simple, dar reduc semnificativ suprafața de atac.
Scattered LAPSUS$ Hunters a făcut publică o listă de nume și o cifră impresionantă. Rămâne de văzut ce dovezi concrete vor fi prezentate și ce pași vor urma investigațiile pentru a confirma lista și volumul exact al datelor. Ce măsuri crezi că ar trebui să adopte companiile care gestionează platforme cloud pentru a preveni astfel de apeluri și conexiuni neautorizate?
Fii primul care comentează