根据彭博社及BleepingComputer的报道，全球CRM龙头Salesforce确实遭到黑客的勒索，并在本周二（10月7日）发信通知客户，该公司不会支付赎金。

发动此次勒索行动的黑客组织为Scattered Lapsus$ Hunters。

黑客今年初开始侦察销售平台Salesloft上的Drift。Drift是一款聊天营销工具，能够与潜在客户互动，支持企业网站的在线聊天，并可整合包括Salesforce在内的CRM平台。许多企业通过OAuth机制授权Drift连接至Salesforce，用来自动生成潜在客户资料并同步聊天记录，而黑客正是入侵了Drift的云环境，窃取了大量Salesforce的OAuth访问凭证。

从今年8月8日至18日期间，黑客利用这些访问凭证登录多家Salesforce租户，批量查询企业的“Account”、“Case”、“User”、“Opportunity”等数据对象，并特别搜索AWS密钥、Snowflake Token和API密码等敏感信息，最后删除查询记录以掩盖痕迹。

然而，Salesloft的监控发现了异常的大规模授权请求和数据导出行为，受害企业也察觉到异常的API查询和数据下载。谷歌于8月底披露此事，最终由Salesloft与Salesforce联合撤销所有Drift应用的Token，才阻止了黑客的数据窃取行为。

但事件并未就此结束，因为黑客开始向受害者及Salesforce勒索，要求支付赎金，否则将公开所窃取的数据，并设立Breachforums网站公布受害者名单，涵盖FedEx、Disney、Home Depot、Google、思科、丰田、麦当劳、Instacart、卡地亚、阿迪达斯、HBO MAX、UPS、香奈儿及宜家等39家企业。

尽管被入侵的并非Salesforce系统本身，但受害者均为其客户，因此黑客扬言，如果Salesforce愿意支付赎金，他们将放过所有客户，否则将对不同客户单独进行勒索。

不过，Salesforce在发给客户的邮件中表示，即使黑客威胁要公开所窃取的客户数据，公司也不会支付赎金。Salesforce发言人Allen Tsai也向媒体强调，公司不会参与、协商或支付任何勒索要求。

另一方面，Breachforums网站本周已被关闭，疑似已被执法机关接管。