Stellantis уведомила о несанкционированном доступе к платформе стороннего поставщика, поддерживающего операции по обслуживанию клиентов в Северной Америке. По заявлению компании, злоумышленники похитили контактную информацию части клиентов; финансовые и иные чувствительные персональные данные на скомпрометированной платформе не хранились.
Что известно: фокус на контактных данных и реагирование
Компания сообщила, что оперативно активировала протоколы реагирования на инциденты, начала расследование, уведомила регуляторов и напрямую информирует затронутых пользователей. В рамках кибергигиены клиентам рекомендовано повышенное внимание к возможным фишинговым коммуникациям и отказ от перехода по подозрительным ссылкам.
Контекст: волна атак на экосистему Salesforce
Хотя Stellantis официально не раскрывает вектор атаки, профильные СМИ (BleepingComputer) связывают инцидент с серией утечек, где фигурирует Salesforce. Группа ShinyHunters приписывает себе кражу данных у Stellantis и утверждает о доступе к миллионам записей через корпоративные интеграции Salesforce.
ShinyHunters и вишинг как точка входа
С начала года злоумышленники активно используют голосовой фишинг (вишинг) против сотрудников компаний — клиентов Salesforce, добиваясь выдачи учетных данных или подтверждения входа. По данным публичных сообщений, в числе пострадавших от смежных эпизодов фигурировали крупные бренды, включая Google, Cisco, Qantas, Adidas, Allianz Life и ряд марок LVMH (Louis Vuitton, Dior, Tiffany & Co).
Salesloft Drift, OAuth‑токены и атака на цепочку поставок
Отдельный вектор касается компрометации Salesloft и его чат-бота Drift, интегрируемого с Salesforce. Нападавшие похищали OAuth‑ и refresh‑токены клиентов, что позволяло извлекать данные из подключенных CRM без повторного ввода пароля. В числе организаций, упомянутых в материалах СМИ в контексте краж через такие интеграции, значатся Cloudflare, Zscaler, Proofpoint, Palo Alto Networks, Tenable, CyberArk, Nutanix, Qualys, Rubrik, Elastic, BeyondTrust, JFrog, Cato Networks и другие. Эти заявления злоумышленников требуют независимой проверки, однако тренд на компрометацию SaaS‑интеграций и цепочки поставок очевиден.
Почему «только контакты» — все равно риск
Контактные сведения (имя, e‑mail, телефон) ценны для фишинговых и социально‑инженерных атак: персонализированные сообщения имеют значительно более высокий процент успешных взаимодействий. По данным Verizon DBIR 2024, социальная инженерия остается одной из ключевых причин компрометаций, а злоупотребление токенами доступа в облачных средах демонстрирует устойчивый рост. В результате даже без финансовых реквизитов контактная база может масштабировать дальнейшие атаки на пользователей и партнеров.
Экспертные меры снижения рисков для компаний
Для клиентов и партнеров Stellantis: будьте осторожны с письмами и звонками, верифицируйте домены отправителей, не переходите по ссылкам из неожиданных сообщений, используйте менеджеры паролей и включайте MFA, отдавая предпочтение FIDO2‑токенам.
Для организаций с экосистемой Salesforce:
— инвентаризируйте все OAuth‑приложения и отключите неиспользуемые;
— внедрите allow‑list OAuth‑приложений и принцип наименьших привилегий для scopes;
— регулярно ротируйте OAuth/refresh‑токены, применяйте короткий TTL;
— включите условный доступ (device posture, гео, риск‑оценка сессии);
— мониторьте логи API и событий OAuth (усиление оповещений по аномалиям);
— тестируйте вишинг‑сценарии в обучении персонала и внедряйте номерные антиспуф‑контроли;
— проводите due diligence поставщиков: SOC 2/ISO 27001, SSO‑SAML/OIDC, ограничение хранения данных, планы IR и контрактные SLA по уведомлениям.
Инцидент подчеркивает уязвимость интеграций SaaS и атак на цепочку поставок: компрометация одного звена способна открыть доступ к широкому кругу данных. Компании, опирающиеся на Salesforce и смежные платформы, должны рассматривать управление OAuth‑рисками и контроль сторонних приложений как приоритетную дисциплину безопасности. Усильте видимость событий, пересмотрите доверенные интеграции и обновите планы реагирования — это снижает вероятность эскалации атак и вторичных утечек.
