Salesforce повідомила клієнтам, що не вступатиме в переговори і не виплачуватиме викуп угрупованню, яке заявляє про серію витоків із клієнтських інстансів компанії. За даними Bloomberg, зловмисники готують публікацію викрадених масивів, а в їхньому «списку жертв» — 39 глобальних організацій.
Вимоги здирників і позиція Salesforce: ключові факти
Коаліція під назвою Scattered Lapsus$ Hunters (учасники з Scattered Spider, LAPSUS$ та ShinyHunters) запустила сайт витоків із переліком постраждалих. Кожен запис супроводжується прикладами викрадених даних та ультиматумом: зв’язатися до 10 жовтня 2025 року, щоб уникнути повного розкриття.
Окремо здирники звернулися до Salesforce з вимогою викупу за «заморожування» публікацій, оцінюючи масив у близько 1 млрд записів з персональними даними. Вони заявили: «Якщо ви заплатите, ваші клієнти більше не отримуватимуть від нас вимог». Компанія, за даними ЗМІ, відмовилася від будь-яких виплат.
Кого шантажують і як тиснуть на бізнес
Серед фігурантів переліку — FedEx, Disney і Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France/KLM, TransUnion, HBO Max, UPS, Chanel та IKEA. Зловмисники також використовують юридичний тиск, звинувачуючи Salesforce у можливих порушеннях GDPR і обіцяючи сприяти колективним позовам у разі публікації даних.
Як відбувалися злами: соціальна інженерія і зловживання OAuth
Перша хвиля (кінець 2024): шкідливі OAuth‑додатки
Ранні атаки спиралися на соціальну інженерію: нападники видавали себе за службу підтримки й переконували співробітників надати доступ шкідливим OAuth‑додаткам у корпоративних інстансах Salesforce. Отримавши дозволи, вони експортували клієнтські дані і переходили до вимагання. Серед зачеплених згадуються Google, Adidas, Qantas, Allianz Life, бренди LVMH (Louis Vuitton, Dior, Tiffany & Co), Cisco.com, Chanel, Pandora та інші.
Друга хвиля (серпень 2025): ланцюг постачання через SalesLoft/Drift
Подальша кампанія використала викрадені OAuth‑токени SalesLoft/Drift, що дало змогу увійти до CRM і масово витягувати чутливі дані. Пріоритетною ціллю стали тикети техпідтримки, де часто зберігаються облікові дані, API‑ключі та токени автентифікації, здатні відкрити шлях у внутрішню інфраструктуру й хмарні сервіси. Про інциденти заявляли, зокрема, Zscaler, Proofpoint, Palo Alto Networks, Workiva, PagerDuty, Exclaimer, Cloudflare та інші.
Оперативний контекст і ймовірні наслідки для відповідності
За повідомленням BleepingComputer, на момент підготовки матеріалу сайт вимагателів був недоступний: домен переключився на nameserver’и, які раніше використовувало ФБР при вилученні доменів. Офіційних коментарів від ФБР немає, тому статус інфраструктури зловмисників не визначений.
Можлива публікація великих масивів ПДн загрожує компаніям штрафами за GDPR, судовими позовами від клієнтів і партнерів та довгостроковими репутаційними втратами. Ефект «доміно» у моделі SaaS-постачання посилює ризик: компрометація доступів або токенів в одному сервісі здатна масштабувати збиток у суміжних системах.
Експертний розбір: чому спрацювали ці вектори
Комбінація соціальної інженерії і надмірних дозволів OAuth залишається однією з найефективніших для атак на хмарні екосистеми. Провідні галузеві звіти (зокрема Verizon DBIR) багато років фіксують домінування технік, що експлуатують довіру користувачів і зловживання обліковими даними. Розповсюджена помилка — зберігання секретів у тикетах підтримки, які потім стають «мапою скарбів» для зловмисників, особливо коли ланцюг інтеграцій включає сторонні платформи комунікацій і CRM.
Практичні кроки захисту: від керування OAuth до DLP
Керування OAuth і дозволами: застосуйте allowlist для зовнішніх додатків, принцип найменших привілеїв, короткоживучі токени з авто‑ротацією; ввімкніть моніторинг ризикових consent‑подій і оперативне відкликання підозрілих дозволів.
Гігієна тикетів і секретів: забороніть паролі, ключі та токени в заявках; використовуйте секрет‑менеджери й DLP‑політики для автоматичного виявлення чутливих даних у тілах звернень і вкладеннях.
Протидія соціальній інженерії: регулярні тренування персоналу, перевірка запитів підтримки по незалежних каналах, захист від MFA‑усталеності, стандартизовані процедури надання зовнішньому ПО доступів OAuth.
Спостережність і реагування: кореляція логінів і доступів до API, поведінкова аналітика та гео‑аномалії; заготовлені playbook’и для масового відкликання токенів і примусового logout; плани повідомлення постраждалих, а також юр‑ і PR‑підтримка у разі публікації даних.
Відмова від виплати викупу вимагає зрілої стратегії інцидент‑респонсу і прозорої комунікації з клієнтами. Компаніям слід заздалегідь відпрацювати сценарії ліквідації наслідків витоків, посилити контроль сторонніх інтеграцій і прибрати секрети з операційних процесів. Чим швидше будуть закриті вектори зловживань OAuth і «очищені» канали підтримки, тим нижчою стане ймовірність масштабних збитків у наступних кампаніях.
