2025年出现多起针对云端CRM平台Salesforce的攻击，其中以黑客组织ShinyHunters的活动最为猖獗。该组织先后针对使用Salesloft、Drift、Gainsight等工具与Salesforce集成的企业发起攻击，如今又传出其发动新一轮攻击行动。

这一消息源自3月7日Salesforce发布的安全指引，呼吁企业检查Experience Cloud网站的访客账户（guest user）权限设置，以防止数据被未授权访问。后续安全媒体Bleeping Computer报道指出，Salesforce所指的攻击者正是ShinyHunters，该组织宣称正利用相关漏洞窃取数据，已有多家企业受害。

Salesforce在公告中表示，攻击者主要针对企业使用Experience Cloud搭建的公开网站，并发现针对特定错误配置的攻击行为显著增加。企业通常利用该平台构建客服入口或支持社区，而黑客则利用访客账户权限配置不当的问题，在无需登录的情况下通过API查询数据。若企业赋予访客账户过多数据访问权限，攻击者便能直接访问CRM系统中的数据对象，获取企业内部信息或客户资料。

Salesforce强调，这些事件并非平台本身存在软件漏洞，而是部分企业在配置Experience Cloud访客账户权限时设置不当所致。若允许访客账户访问过多数据对象，攻击者即可通过API查询CRM数据，例如客户联系信息或企业内部记录。

为降低风险，Salesforce建议企业检查Experience Cloud访客账户的安全设置，包括限制访客账户可访问的数据对象、停用不必要的公开API权限，以及监控异常的API查询行为。同时，建议企业排查是否存在未经授权的数据访问活动，避免敏感信息被大规模窃取。

关于攻击的其他细节，Salesforce指出，这是一起已知黑客组织所为。该组织利用Mandiant开发的工具Aura Inspector进行修改，对可公开访问的Experience Cloud网站进行大规模扫描。原本的Aura Inspector仅用于探测网站暴露的API端点，帮助识别易受攻击的对象，但黑客修改后的版本可进一步利用宽松的访客账户设置，直接实施数据窃取。

通常情况下，在Experience Cloud网站上，所有浏览网页的用户均共享一个访客用户配置文件（guest user profile），其作用是允许未经身份验证的用户查看企业公开的信息。但一旦该配置文件被错误授予过多权限，攻击者便可在不登录系统的情况下，直接查询Salesforce中的CRM对象。对此，Salesforce呼吁用户尽快采取应对措施。

尽管Salesforce未明确提及黑客组织名称，但其攻击手法与ShinyHunters高度吻合。该组织已向安全媒体Bleeping Computer声称，此次攻击行动由其发起。

ShinyHunters宣称，自2025年9月起开始大规模扫描企业网站，已从约100家知名公司窃取数据，其中许多为网络安全领域的企业。据估计，受害企业总数在300至400家之间，攻击者可能将窃取的数据用于出售或勒索。

Mandiant也向Bleeping Computer证实，其推出的工具已被滥用，黑客正利用Aura Inspector对多个Salesforce环境进行自动化扫描，以寻找可利用的漏洞，从而实施入侵。