Archiwa: Cybersecurity - Security Bez Tabu

Tag: Cybersecurity

Grupa wymuszeniowa publikuje miliony rekordów z ataków na klientów Salesforce. Co naprawdę się stało i jak się bronić

Wprowadzenie do problemu / definicja luki

Ekstorcjonistyczna grupa Scattered LAPSUS$ Hunters opublikowała w sieci zestawy danych skradzionych z instancji Salesforce należących do wielu firm. Wyciek nastąpił po nieudanym wymuszeniu okupu – Salesforce publicznie zadeklarował, że nie zapłaci i nie będzie negocjować. Co istotne, sam rdzeń platformy Salesforce nie został naruszony; ataki uderzyły w klientów i ich integracje/aplikacje oraz ludzi (socjotechnika). Na liście ofiar wymieniono m.in. Albertsons, Engie Resources, Fujifilm, GAP, Qantas i Vietnam Airlines. Qantas informował wcześniej o potencjalnie ~5–6 mln dotkniętych klientów, a w przypadku Vietnam Airlines usługę Have I Been Pwned odnotowała ~7,3 mln kont.

W skrócie

  • Kto? Kolektyw Scattered LAPSUS$ Hunters (powiązania z Lapsus$, Scattered Spider, ShinyHunters).
  • Co? Wyciek części danych i groźby ujawnienia kolejnych – łącznie przestępcy chwalili się setkami milionów do ~1 mld rekordów z dziesiątek firm korzystających z Salesforce.
  • Jak? Dwie równoległe ścieżki:
    1. Vishing/Help Desk → skłonienie pracowników do instalacji spreparowanego Salesforce Data Loader / uzyskania dostępu do kont.
    2. Przejęte tokeny OAuth aplikacji Salesloft Drift → masowy eksport danych z obiektów Salesforce.
  • Stanowisko Salesforce: brak dowodów na kompromitację platformy; firma nie zapłaci okupu.
  • Działania organów ścigania: zaburzenie infrastruktury wymuszeniowej grupy przez FBI; mimo to część danych wyciekła.

Kontekst / historia / powiązania

Początek października przyniósł uruchomienie przez grupę własnego serwisu wyciekowego i eskalację gróźb wobec ~39 wskazanych firm-klientów Salesforce. Jednocześnie pojawiły się potwierdzone publikacje danych (m.in. Qantas, Vietnam Airlines). Wcześniejsze ostrzeżenia pochodziły od Google Threat Intelligence/Mandiant oraz FBI, które niezależnie opisały dwie aktywne komórki (UNC6040 i UNC6395) polujące na instancje Salesforce różnymi metodami.

Analiza techniczna / szczegóły luki

Ścieżka A – socjotechnika i Data Loader (UNC6040):

  • Atakujący używali vishingu (podszywanie się pod IT Service Desk), aby nakłonić pracowników do instalacji zmodyfikowanego Salesforce Data Loader lub udostępnienia danych logowania/MFA.
  • Po uzyskaniu dostępu następował eksport masowy rekordów (PII, dane programów lojalnościowych, profile użytkowników).

Ścieżka B – tokeny OAuth i integracje (UNC6395):

  • Kompromitacja tokenów OAuth aplikacji Salesloft Drift; w odpowiedzi 20 sierpnia unieważniono tokeny Drift i wyłączono aplikację w AppExchange.
  • Napastnicy wykonywali SOQL z kont zaufanych aplikacji, zliczając i pobierając obiekty Account, Opportunity, User, Case, oraz wyszukiwali w danych sekrety (np. AKIA, hasła, tokeny Snowflake).
  • GTIG/Mandiant opublikowali IOC (m.in. UA „Salesforce-Multi-Org-Fetcher/1.0”, zakres IP – również węzły Tor) i szczegółowe zapytania SOQL pomocne w detekcji.

Dlaczego ofiary są podatne?

  • Nadmierne uprawnienia Connected Apps („full access”), zbyt liberalne IP Relaxation, brak restrykcji API na profilach, niewłaściwy lifecycle tokenów i zbyt długie sesje.

Praktyczne konsekwencje / ryzyko

  • Ryzyko nadużyć PII: phishing ukierunkowany, oszustwa podróżnicze/lojalnościowe (linie lotnicze), przejęcia kont.
  • Ryzyko wtórne (pivot): wyciek tajnych kluczy/API znalezionych w rekordach Salesforce → dalsze włamania do AWS/Snowflake i systemów SaaS.
  • Chaos informacyjny: część deklaracji grupy jest przesadzona lub niespójna (np. „nie możemy więcej wyciekać”), co utrudnia ocenę pełnej skali, ale potwierdzone wycieki już mogą skutkować incydentami fraudowymi.

Rekomendacje operacyjne / co zrobić teraz

1) Reagowanie i łagodzenie skutków (Salesforce/SecOps)

  • Przegląd logów: Event Monitoring (zwł. Connected App OAuth Usage, Login, API, UniqueQuery), anomalia w UA i adresach z IOC (Tor/Cloud).
  • Rotacja sekretów: natychmiast unieważnij i odtwórz tokeny OAuth, API keys, hasła powiązane z integracjami; usuń nadmiarowe refresh tokens.
  • Ogranicz Connected Apps: minimalne scopes, IP restrictions, wyłącz „API Enabled” poza uprzywilejowanymi Permission Sets; ustaw krótsze sesje i wymuś MFA.
  • Wyszukiwanie sekretów w danych: przeszukaj obiekty (Case, Attachment, Task, Chatter) pod kątem AKIA, password, Snowflake, URL-i logowania; zastosuj narzędzia typu TruffleHog.

2) Twardnienie procesów i ludzi

  • Help Desk Playbook: blokada realizacji żądań przez telefon/voice bez out-of-band potwierdzenia i weryfikacji tożsamości; zakaz dyktowania kodów MFA/SSO.
  • Dystrybucja oprogramowania: instalatory Salesforce Data Loader wyłącznie z oficjalnych źródeł, podpisy cyfrowe, listy dozwolonych hashy, EDR.

3) Komunikacja z klientami i monitoring nadużyć

  • Powiadomienie osób, których dotyczy sprawa; brand-monitoring pod kątem phish-kampanii podszywających się pod firmę/lojalności.
  • Dodatkowe kontrole ryzyka transakcji i weryfikacje zmian danych (adresy, telefony) w systemach lojalnościowych.

4) Współpraca z dostawcami i organami

  • Wykonaj zalecenia Salesforce/Salesloft; zgłoś ślady kompromitacji do FBI/CERT (flash TLP:CLEAR nt. UNC6040/UNC6395).

Różnice / porównania z innymi przypadkami

  • Nie jest to „klasyczny” ransomware: brak szyfrowania, czysta ekstorsja danych + presja medialna.
  • Atak na ekosystem SaaS: kruche punkty to integracje i tożsamość, a nie zero-day w samym Salesforce – odmiennie np. od incydentów z lukami w platformach on-prem.

Podsumowanie / kluczowe wnioski

  • Wyciek ujawnia strukturalną słabość: zaufane aplikacje i tokeny OAuth są „złotym kluczem” do danych CRM.
  • Wzmocnienie Connected Apps, monitoring SOQL, rotacja sekretów i dyscyplina operacyjna są dziś ważniejsze niż kiedykolwiek.
  • Organy ścigania potrafią zakłócić infrastrukturę wymuszeniową, ale skutki wycieku (phishing, oszustwa, przejęcia kont) pozostają i wymagają długofalowej obrony.

Źródła / bibliografia

  1. SecurityWeek – przegląd publikacji danych (Albertsons, Engie, Fujifilm, GAP, Qantas, Vietnam Airlines) i kontekst 39 ofiar. (SecurityWeek)
  2. Reuters – potwierdzenia dot. skali („~1 mld rekordów”), technik vishing oraz stanowiska Salesforce. (Reuters)
  3. Google Cloud Threat Intelligence/Mandiant – techniczne szczegóły kampanii UNC6395 (Drift OAuth), SOQL, IOC, zalecenia. (Google Cloud)
  4. Cybersecurity Dive – deklaracja Salesforce o odmowie płatności, rozdzielenie dwóch kampanii (Data Loader vs. Drift). (cybersecuritydive.com)
  5. BankInfoSecurity/GovInfoSecurity – przebieg publikacji po zakłóceniu przez FBI, liczby dla Qantas/Vietnam Airlines. (BankInfoSecurity)

Etyka Kontra Moralność W Cyberbezpieczeństwie

Da się ≠ Wolno ≠ Warto

Moralność potrafi usprawiedliwić krzywdę. Etyka stawia granice. To prowokacyjne stwierdzenie każe zastanowić się, czy zawsze to, co uznajemy za moralne, jest naprawdę słuszne. W życiu codziennym, a szczególnie w świecie cyberbezpieczeństwa, granica między tym co można, tym co wolno a tym co warto bywa rozmyta. Specjaliści ds. bezpieczeństwa dysponują ogromnymi możliwościami – potrafią w kilka chwil uzyskać dostęp do poufnych danych lub wyłączyć kluczowe systemy. Dlatego pytanie „czy to zrobić?” nie może kończyć się na „czy potrafię” ani nawet na „czy mam pozwolenie”. Musimy pójść o krok dalej i zapytać: czy warto to zrobić – czy to jest słuszne i odpowiedzialne?.

Czytaj dalej „Etyka Kontra Moralność W Cyberbezpieczeństwie”

Kompletny Przewodnik Po Promptach AI – Ponad 100 Gotowych Rozwiązań

Fundamenty efektywnego promptowania

Prompty AI to nic innego jak instrukcje lub pytania, które zadajemy modelom sztucznej inteligencji (np. ChatGPT), aby uzyskać od nich użyteczną odpowiedź. Odpowiednio sformułowane prompty potrafią znacznie usprawnić pracę specjalistów ds. bezpieczeństwa informacji – od analizy zagrożeń, przez automatyzację żmudnych zadań, po cele edukacyjne. Nic dziwnego, że w ostatnim czasie ChatGPT stał się gorącym tematem w IT – znajduje coraz szersze zastosowanie, także w cybersecurity.

Czytaj dalej „Kompletny Przewodnik Po Promptach AI – Ponad 100 Gotowych Rozwiązań”

Call for Papers w cyberbezpieczeństwie

Czym jest Call for Papers (CfP)?

Call for Papers (w skrócie CfP) to otwarte wezwanie do nadsyłania propozycji wystąpień na konferencję lub inne wydarzenie branżowe. Organizatorzy ogłaszają CfP, aby zachęcić specjalistów do podzielenia się wiedzą – zarówno najnowszymi badaniami, jak i praktycznym doświadczeniem. W ramach CfP każdy chętny może przesłać streszczenie swojego potencjalnego wystąpienia, a komisja programowa wybiera z nadesłanych zgłoszeń te, które trafią do agendy wydarzenia.

Czytaj dalej „Call for Papers w cyberbezpieczeństwie”

„Cybersecurity w pytaniach i odpowiedziach” – Fakty Zamiast Oskarżeń

Prawda udokumentowana: analiza prawna mojej książki

Przez ostatnie miesiące milczałem nie z braku argumentów, lecz by wrócić do równowagi po fali pomówień, hejtu i rozczarowań środowiskiem deklarującym etykę. Dziś publikuję opinię prawną, która jednoznacznie potwierdza: moja książka „Cybersecurity w pytaniach i odpowiedziach” została napisana samodzielnie, nie narusza praw autorskich i nie zawiera plagiatu — ani w całości, ani we fragmentach.

Czytaj dalej „„Cybersecurity w pytaniach i odpowiedziach” – Fakty Zamiast Oskarżeń”

Cybersecurity – Od Czego Zacząć? Wywiad Dla DevMentor.pl

O czym rozmawialiśmy?

„Cyberbezpieczeństwo – czym jest i od czego zacząć?” to kolejny odcinek podcastu prowadzonego przez Mateusz Bogolubow o nazwie #PierwszeKrokiWIT. Jako gość oraz ekspert ds. cyberbezpieczeństwa miałem przyjemnośc podzielenia się swoją wiedzą i podejściem do tego jak zacząć swoją przygodę w tym obszarze IT.

Czytaj dalej „Cybersecurity – Od Czego Zacząć? Wywiad Dla DevMentor.pl”

Prasówka 21.02.2024

Cyberprasówka

W obliczu dynamicznie rozwijających się zagrożeń cybernetycznych, ostatnie miesiące przyniosły wiele wyzwań, ale i sukcesów w dziedzinie cyberbezpieczeństwa. Od odkrywania nowych luk w zabezpieczeniach po skuteczne akcje organów ścigania przeciwko cyberprzestępcom, krajobraz cyberzagrożeń ciągle ewoluuje. W tej prasówce przyglądamy się kluczowym wydarzeniom, które kształtują nasze podejście do bezpieczeństwa cyfrowego, podkreślając zarówno wyzwania, jak i możliwości dla organizacji oraz indywidualnych użytkowników. Zapraszam do zgłębienia najnowszych trendów i lekcji płynących z cyberfrontu.

Czytaj dalej „Prasówka 21.02.2024”