Salesforce攻擊潮|Chanel成最新受害者 美客戶資料外洩
Chanel 成為 Salesforce 攻擊潮中的最新受害者,導致美國地區部分客戶資料外洩。據知,是次攻擊由全球性黑客組織 ShinyHunters 發動,屬近日廣泛社交工程攻勢中的其中一部分,其他受害品牌包括有香港客戶受影響的 Louis Vuitton(LV)、Dior 等。而 Saleforce 則表示其主系統並未被破解,呼籲客戶自身落實基礎網安措施。
客戶數據庫由第三方服務商管理
事件發生在 7 月 25 日,Chanel 偵測到有黑客入侵客戶數據庫,該數據庫是採用 Salesforce 平台,由第三方服務商管理。這宗攻擊事件僅影響美國地區、多為曾聯絡過 Chanel 客戶服務中心的客戶 ,受影響資料包括姓名、電子郵件地址、郵寄地址和電話號碼。Chanel 強調,外洩資料並不包含更敏感的財務或付款資訊,並已主動通知受影響的客戶。
事後,Chanel 立即啟動應變機制,並聘請第三方專家協助修復和後續調查,目前尚無跡象顯示 Chanel 用戶資料已被公開至暗網或公開平台。
這次針對 Chanel 的攻擊,屬黑客組織 ShinyHunters 發動的廣泛社交工程攻勢中的一部分。該組織近期以語音網絡釣魚(vishing)和騙取 OAuth 存取權限的方式,專門鎖定企業員工,騙取 Salesforce 等雲服務的登入憑證。一旦取得權限,他們會竊取關鍵數據,再對勒索企業,威脅公開敏感客戶資料。受害的品牌除 Chanel 外,還包括 Adidas、Qantas、Allianz Life,以及 LVMH 旗下的 LV、Dior、Tiffany & Co 等國際級企業。
Salesforce 強調主系統未有被破解
雖然近日的攻擊潮與 Salesforce 平台本身的技術弱點無關,Salesforce 也多次聲明其主系統並未被破解,惟網安專家強調現代雲端營運架構下,帳號憑證安全及第三方服務商管理的風險,同樣值得高度重視。
Salesforce 亦再次提醒所有用戶,雲平台雖提供企業級網安設計,但客戶自身落實基礎網安措施仍是相當重要,例如強制採取多重身分認證、限制第三方應用或自定義 OAuth 的範圍,並加強網絡釣魚、社交工程攻擊相關的員工教育訓練。
網安研究人員提醒,即使是如姓名和聯絡方式等「表面不敏感」的資訊,只要落入不法分子手中,也可能被用來進行進一步的詐騙及釣魚攻擊,例如冒充 Chanel 發出假訊息,引導客戶交出更敏感資料或點擊惡意連結。
企業方面亦要留意,即使選用大型成熟的雲端平台,也不能輕忽來自社交工程、第三方服務甚至人為疏忽的網安威脅。
