Salesforce уведомила клиентов, что не будет вести переговоры и выплачивать выкуп киберпреступникам, стоящим за серией утечек данных из клиентских инстансов компании. По данным Bloomberg, злоумышленники уже предупредили о скорой публикации похищенной информации, а в «листах жертв» числятся 39 организаций мирового уровня.
Salesforce отказывается от переговоров: что известно
Киберпреступная коалиция, именующая себя Scattered Lapsus$ Hunters (участники групп Scattered Spider, LAPSUS$ и Shiny Hunters), развернула сайт утечек с перечнем пострадавших. Каждая запись сопровождается примерами украденных данных и ультиматумом: связаться до 10 октября 2025 года, чтобы предотвратить публичное раскрытие полного объема информации.
Отдельным сообщением вымогатели обратились к Salesforce, требуя выкуп за «заморозку» публикации данных клиентов, оцененных ими в порядка 1 млрд записей с ПДн. Хакеры заявляют: «Если вы заплатите, ваши клиенты больше не будут получать от нас требования о выкупе». Компания, по информации СМИ, отказалась от любых выплат.
Кто стоит за атаками и кого шантажируют
В списке угроз фигурируют крупные бренды и организации, среди них FedEx, Disney и Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France и KLM, TransUnion, HBO Max, UPS, Chanel и IKEA. Преступники также пытаются оказать давление юридическими рисками, обвиняя Salesforce в нарушении GDPR и обещая содействовать подаче исков после публикации данных.
Как проходили кампании: социальная инженерия и OAuth
Первая волна (конец 2024): вредоносные OAuth-приложения
По данным расследования, ранние атаки базировались на социальной инженерии: злоумышленники выдавали себя за техподдержку и убеждали сотрудников подключить к корпоративным экземплярам Salesforce вредоносные OAuth‑приложения. После предоставления разрешений атакующие выгружали клиентские данные и переходили к вымогательству. Среди пострадавших упоминаются Google, Adidas, Qantas, Allianz Life, бренды LVMH (Louis Vuitton, Dior и Tiffany & Co), Cisco.com, Chanel, Pandora и другие.
Вторая волна (август 2025): цепочка поставок через SalesLoft/Drift
Далее последовала кампания с использованием похищенных OAuth‑токенов SalesLoft/Drift, позволившая получить доступ к CRM-системам и выгрузить чувствительные данные. Основная цель — тикеты техподдержки, где нередко обнаруживаются учетные данные, API‑ключи и токены аутентификации, открывающие путь во внутреннюю инфраструктуру и облачные сервисы. О затронутых системах сообщили Zscaler, Proofpoint, Palo Alto Networks, Workiva, PagerDuty, Exclaimer, Cloudflare и другие.
Риски и последствия: GDPR, юридическое давление и репутационные потери
Публикация массивов ПДн грозит организациям значительными штрафами по GDPR, исками со стороны клиентов и партнеров, а также долгосрочными репутационными издержками. Отдельную тревогу заслуживает «эффект домино» при компрометации поставщиков SaaS: доступы и токены, вытекающие из одного инцидента, могут масштабировать ущерб в смежных системах.
Как отмечает BleepingComputer, на момент подготовки материала сайт вымогателей был недоступен: домен переключился на nameserver’ы, ранее использовавшиеся ФБР при изъятии доменов. Официальных комментариев от ФБР пока не поступало, поэтому статус инфраструктуры злоумышленников остается неопределенным.
Что делать организациям: практические меры защиты
Управление OAuth и доступами: внедрите allowlist внешних приложений, минимизируйте набор запрашиваемых разрешений (принцип наименьших привилегий), используйте короткоживущие токены с автоматической ротацией, включите мониторинг рискованных консент‑событий и отзыв подозрительных разрешений.
Гигиена тикетов и секретов: запрет на хранение паролей, ключей и токенов в заявках поддержки; использование секрет‑менеджеров и интеграций с DLP для автообнаружения чувствительных данных в тикетах и вложениях.
Противодействие социальной инженерии: регулярные тренировки персонала, верификация запросов техподдержки по независимым каналам, защита от MFA‑усталости, строгие процедуры выдачи консента внешним приложениям.
Наблюдаемость и реакция: корреляция событий входа и доступа к API, поведенческая аналитика, гео‑аномалии, playbook’и для массового отзыва токенов и принудительного logout, резервные планы на случай публикации данных (уведомление затронутых лиц, правовая и PR‑поддержка).
Отраслевые отчеты (например, Verizon DBIR) на протяжении нескольких лет фиксируют ведущую роль социальной инженерии и злоупотребления учетными данными в успешных атаках. Текущая кампания вокруг Salesforce подтверждает: контроль консента OAuth, чистота данных в тикетах и зрелый процесс управления поставщиками являются критическими элементами киберустойчивости.
Ситуация демонстрирует, что отказ от выплаты выкупа требует готовности к оперативной реакции и прозрачной коммуникации с клиентами. Организациям стоит заранее отработать сценарии ликвидации последствий «слива», усилить контроль сторонних интеграций и пересмотреть практики хранения секретов. Чем быстрее будут закрыты векторы злоупотребления OAuth и исключена утечка чувствительных данных в служебных процессах, тем ниже вероятность масштабного ущерба при последующих атаках.
