Grupa wymuszeniowa publikuje miliony rekordów z ataków na klientów Salesforce. Co naprawdę się stało i jak się bronić

Wprowadzenie do problemu / definicja luki

Ekstorcjonistyczna grupa Scattered LAPSUS$ Hunters opublikowała w sieci zestawy danych skradzionych z instancji Salesforce należących do wielu firm. Wyciek nastąpił po nieudanym wymuszeniu okupu – Salesforce publicznie zadeklarował, że nie zapłaci i nie będzie negocjować. Co istotne, sam rdzeń platformy Salesforce nie został naruszony; ataki uderzyły w klientów i ich integracje/aplikacje oraz ludzi (socjotechnika). Na liście ofiar wymieniono m.in. Albertsons, Engie Resources, Fujifilm, GAP, Qantas i Vietnam Airlines. Qantas informował wcześniej o potencjalnie ~5–6 mln dotkniętych klientów, a w przypadku Vietnam Airlines usługę Have I Been Pwned odnotowała ~7,3 mln kont.

W skrócie

• Kto? Kolektyw Scattered LAPSUS$ Hunters (powiązania z Lapsus$, Scattered Spider, ShinyHunters).
• Co? Wyciek części danych i groźby ujawnienia kolejnych – łącznie przestępcy chwalili się setkami milionów do ~1 mld rekordów z dziesiątek firm korzystających z Salesforce.
• Jak? Dwie równoległe ścieżki:
  1. Vishing/Help Desk → skłonienie pracowników do instalacji spreparowanego Salesforce Data Loader / uzyskania dostępu do kont.
  2. Przejęte tokeny OAuth aplikacji Salesloft Drift → masowy eksport danych z obiektów Salesforce.
• Stanowisko Salesforce: brak dowodów na kompromitację platformy; firma nie zapłaci okupu.
• Działania organów ścigania: zaburzenie infrastruktury wymuszeniowej grupy przez FBI; mimo to część danych wyciekła.

Kontekst / historia / powiązania

Początek października przyniósł uruchomienie przez grupę własnego serwisu wyciekowego i eskalację gróźb wobec ~39 wskazanych firm-klientów Salesforce. Jednocześnie pojawiły się potwierdzone publikacje danych (m.in. Qantas, Vietnam Airlines). Wcześniejsze ostrzeżenia pochodziły od Google Threat Intelligence/Mandiant oraz FBI, które niezależnie opisały dwie aktywne komórki (UNC6040 i UNC6395) polujące na instancje Salesforce różnymi metodami.

Analiza techniczna / szczegóły luki

Ścieżka A – socjotechnika i Data Loader (UNC6040):

• Atakujący używali vishingu (podszywanie się pod IT Service Desk), aby nakłonić pracowników do instalacji zmodyfikowanego Salesforce Data Loader lub udostępnienia danych logowania/MFA.
• Po uzyskaniu dostępu następował eksport masowy rekordów (PII, dane programów lojalnościowych, profile użytkowników).

Ścieżka B – tokeny OAuth i integracje (UNC6395):

• Kompromitacja tokenów OAuth aplikacji Salesloft Drift; w odpowiedzi 20 sierpnia unieważniono tokeny Drift i wyłączono aplikację w AppExchange.
• Napastnicy wykonywali SOQL z kont zaufanych aplikacji, zliczając i pobierając obiekty Account, Opportunity, User, Case, oraz wyszukiwali w danych sekrety (np. AKIA, hasła, tokeny Snowflake).
• GTIG/Mandiant opublikowali IOC (m.in. UA „Salesforce-Multi-Org-Fetcher/1.0”, zakres IP – również węzły Tor) i szczegółowe zapytania SOQL pomocne w detekcji.

Dlaczego ofiary są podatne?

• Nadmierne uprawnienia Connected Apps („full access”), zbyt liberalne IP Relaxation, brak restrykcji API na profilach, niewłaściwy lifecycle tokenów i zbyt długie sesje.

Praktyczne konsekwencje / ryzyko

• Ryzyko nadużyć PII: phishing ukierunkowany, oszustwa podróżnicze/lojalnościowe (linie lotnicze), przejęcia kont.
• Ryzyko wtórne (pivot): wyciek tajnych kluczy/API znalezionych w rekordach Salesforce → dalsze włamania do AWS/Snowflake i systemów SaaS.
• Chaos informacyjny: część deklaracji grupy jest przesadzona lub niespójna (np. „nie możemy więcej wyciekać”), co utrudnia ocenę pełnej skali, ale potwierdzone wycieki już mogą skutkować incydentami fraudowymi.

Rekomendacje operacyjne / co zrobić teraz

1) Reagowanie i łagodzenie skutków (Salesforce/SecOps)

• Przegląd logów: Event Monitoring (zwł. Connected App OAuth Usage, Login, API, UniqueQuery), anomalia w UA i adresach z IOC (Tor/Cloud).
• Rotacja sekretów: natychmiast unieważnij i odtwórz tokeny OAuth, API keys, hasła powiązane z integracjami; usuń nadmiarowe refresh tokens.
• Ogranicz Connected Apps: minimalne scopes, IP restrictions, wyłącz „API Enabled” poza uprzywilejowanymi Permission Sets; ustaw krótsze sesje i wymuś MFA.
• Wyszukiwanie sekretów w danych: przeszukaj obiekty (Case, Attachment, Task, Chatter) pod kątem AKIA, password, Snowflake, URL-i logowania; zastosuj narzędzia typu TruffleHog.

2) Twardnienie procesów i ludzi

• Help Desk Playbook: blokada realizacji żądań przez telefon/voice bez out-of-band potwierdzenia i weryfikacji tożsamości; zakaz dyktowania kodów MFA/SSO.
• Dystrybucja oprogramowania: instalatory Salesforce Data Loader wyłącznie z oficjalnych źródeł, podpisy cyfrowe, listy dozwolonych hashy, EDR.

3) Komunikacja z klientami i monitoring nadużyć

• Powiadomienie osób, których dotyczy sprawa; brand-monitoring pod kątem phish-kampanii podszywających się pod firmę/lojalności.
• Dodatkowe kontrole ryzyka transakcji i weryfikacje zmian danych (adresy, telefony) w systemach lojalnościowych.

4) Współpraca z dostawcami i organami

• Wykonaj zalecenia Salesforce/Salesloft; zgłoś ślady kompromitacji do FBI/CERT (flash TLP:CLEAR nt. UNC6040/UNC6395).

Różnice / porównania z innymi przypadkami

• Nie jest to „klasyczny” ransomware: brak szyfrowania, czysta ekstorsja danych + presja medialna.
• Atak na ekosystem SaaS: kruche punkty to integracje i tożsamość, a nie zero-day w samym Salesforce – odmiennie np. od incydentów z lukami w platformach on-prem.

Podsumowanie / kluczowe wnioski

• Wyciek ujawnia strukturalną słabość: zaufane aplikacje i tokeny OAuth są „złotym kluczem” do danych CRM.
• Wzmocnienie Connected Apps, monitoring SOQL, rotacja sekretów i dyscyplina operacyjna są dziś ważniejsze niż kiedykolwiek.
• Organy ścigania potrafią zakłócić infrastrukturę wymuszeniową, ale skutki wycieku (phishing, oszustwa, przejęcia kont) pozostają i wymagają długofalowej obrony.

Źródła / bibliografia

1. SecurityWeek – przegląd publikacji danych (Albertsons, Engie, Fujifilm, GAP, Qantas, Vietnam Airlines) i kontekst 39 ofiar. (SecurityWeek)
2. Reuters – potwierdzenia dot. skali („~1 mld rekordów”), technik vishing oraz stanowiska Salesforce. (Reuters)
3. Google Cloud Threat Intelligence/Mandiant – techniczne szczegóły kampanii UNC6395 (Drift OAuth), SOQL, IOC, zalecenia. (Google Cloud)
4. Cybersecurity Dive – deklaracja Salesforce o odmowie płatności, rozdzielenie dwóch kampanii (Data Loader vs. Drift). (cybersecuritydive.com)
5. BankInfoSecurity/GovInfoSecurity – przebieg publikacji po zakłóceniu przez FBI, liczby dla Qantas/Vietnam Airlines. (BankInfoSecurity)