黑客组织ShinyHunters声称窃取近15亿条用户数据

近日，涉嫌入侵Google、思科、安联人寿等知名企业的黑客组织ShinyHunters本周宣称，已从Salesloft Drift入侵760家企业Salesforce数据库，获取近15亿条用户数据。

自今年8月起，陆续有思科、安联人寿公告遭不明人员窃取客户资料，当时仅有Google说明是客户关系管理（CRM）系统Salesforce遭入侵。Google旗下安全团队及服务部门Mandiant公布调查结果，攻击者在8月8日至8月18日期间，滥用集成Salesforce的Salesloft Drift OAuth令牌登录其CRM系统，并窃取客户资料及其他内部系统数据。

Mandiant研究人员将这群攻击者标记为UNC6040及UNC6395。作案人员自称是ShinyHunters、Scattered Spiders，据信以ShinyHunters为主要成员，但后来宣称ShinyHunters、Scattered Spiders及Lapsus$三者已合并，名为Scattered Lapsus$ Hunters。

ShinyHunters本周向安全媒体BleepingComputer透露其作案细节。该团伙最初利用开源数据挖掘工具TruffleHog扫描网络上是否泄露的Salesloft Drift凭证，最终找到了Salesloft公司的GitHub密码。

这一点也与Salesloft的调查结果一致。该公司调查发现，黑客在今年3月至6月期间访问了其GitHub仓库，其中包含公司程序源代码，从而使攻击者获取了API密钥、令牌和密码。

随后，黑客获得了Salesloft Drift与其他知名系统的连接凭证，包括Salesforce的OAuth访问令牌，进而窃取客户数据库信息。ShinyHunters声称，从760家公司的Salesforce系统中获取了“账户”、“联系人”、“案例”、“机会”和“用户”等对象表的数据，每类记录数量从数千万到数亿不等。该组织还向媒体提供包含源代码的文本文件作为证据。

Google Mandiant在最新研究报告中也有类似发现。“案例”是客户向Salesforce请求支持的记录，可能包含AWS等重要系统的凭证、Snowflake的验证令牌、访问密钥等敏感信息。因此，除了Salesforce内的客户信息外，受害企业的关键运营系统和机密数据也可能已被窃取。此外，黑客行为十分隐蔽，删除了查询日志以避免被发现。

通过泄露的Salesloft Drift和Drift Email凭证，这伙黑客接连入侵多家企业，其中包括多家安全厂商，如Google、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、Palo Alto Networks等。

本周Google也证实，攻击者在其执法请求系统（Law Enforcement Request System，LERS）中创建了虚假账号。