De bende die claimt verantwoordelijk te zijn voor een golf van datalekken via het Salesforce-platform heeft een zogeheten leak-site opgericht met voorbeelden van gelekte data. Salesforce weigert alvast losgeld te betalen.
Bedoeling van de leak-site lijkt om de tientallen getroffen bedrijven te overhalen het losgeld te betalen, voordat meer van hun gegevens online te grabbel worden gegooid. Op de afperssite staan de namen van 39 bedrijven die recent aanvallen te verwerken kregen. Bij elk bedrijf worden samples gegeven van vermoedelijk buitgemaakte data. De site maant de bedrijven aan om tot een akkoord te komen voor 10 oktober, om te voorkomen dat de hele handel publiek wordt gemaakt.
Bij de slachtoffers op de site zijn enkele grote en bekende bedrijven, waaronder IKEA, FedEx, Disney/Hulu, Marriott, Google, Cisco, Toyota, McDonald’s, Cartier, Adidas, Air France & KLM, HBO MAX, UPS en Chanel. ‘Elk van die bedrijven is lang geleden al gecontacteerd,’ zegt een mogelijk lid van de bende aan techsite BleepingComputer. ‘Ze hebben de mail gezien want we weten dat ze de samples meermaals hebben gedownload.’
Afpersing
De groep achter de site zegt Scattered Lapsus$ Hunters te zijn, en claimt links met andere bekende bendes zoals ShinyHunters, Scattered Spiter en Lapsus$. De afpersgroep zegt verantwoordelijk te zijn voor een golf aan datalekken. Ze konden via een app op het Salesforce-platform klantendata stelen bij tientallen bedrijven.
Hoe tientallen bedrijven hun data zagen lekken via Salesforce
Het is daarom interessant dat ze op de leak-site ook een oproep lanceren aan Salesforce zelf. Als dat bedrijf bereid is om (veel) geld op tafel te leggen, zou de bende geen enkele van zijn klantendata (naar schatting zo’n miljard gestolen documenten) lekken. Salesforce heeft altijd volgehouden dat de aanvallen geen gevolg zijn van kwetsbaarheden op haar platform zelf.
Update 09/10: Salesforce laat via zijn persmededeling weten dat het bedrijf geen losgeld zal betalen. ‘Ik kan bevestigen dat Salesforce niet onderhandelt over deze poging tot afpersing, en ze niet zal betalen.’ De woordvoerder meldt dat Salesforce ‘geloofwaardige dreigingsinformatie’ heeft gekregen die aangeeft dat de ShinyHunters groep van plan is om gestolen data te publiceren.
Security-onderzoekers zoals Mandiant denken dat de bende voor zijn aanvallen gestolen OAuth authenticatietokens gebruikte van de Salesloft Drift AI app, die integreert met Salesforce. Op die manier konden ze gevoelige informatie zoals wachtwoorden, AWS sleutels en tokens voor het cloudopslagbedrijf Snowflake stelen. Een extra set gegevens zou gestolen zijn via phishing. Daarbij overhaalden de aanvallers medewerkers via de telefoon om een kwaadaardige OAuth app te linken aan het Salesforce-platform van hun bedrijf.