Salesforce-hackers starten leak-website

Bij de slachtoffers op de site zijn enkele grote en bekende bedrijven, waaronder IKEA, FedEx, Disney/Hulu, Marriott, Google, Cisco, Toyota, McDonald’s, Cartier, Adidas, Air France & KLM, HBO MAX, UPS en Chanel. ‘Elk van die bedrijven is lang geleden al gecontacteerd,’ zegt een mogelijk lid van de bende aan techsite BleepingComputer. ‘Ze hebben de mail gezien want we weten dat ze de voorbeelden meermaals hebben gedownload.’

Afpersing 

De groep achter de site zegt Scattered Lapsus$ Hunters te zijn, en claimt banden met andere bekende bendes zoals ShinyHunters, Scattered Spiter en Lapsus$. De afpersgroep zegt verantwoordelijk te zijn voor een golf aan datalekken. Ze konden via een app op het Salesforce-platform klantendata stelen bij tientallen bedrijven.

Het is daarom interessant dat ze op de leak-site ook een oproep doen aan Salesforce zelf. Als dat bedrijf bereid is om (veel) geld op tafel te leggen, zou de bende geen enkele van zijn klantendata (naar schatting zo’n miljard gestolen documenten) lekken. Salesforce heeft altijd volgehouden dat de aanvallen geen gevolg zijn van kwetsbaarheden op haar platform zelf.

Security-onderzoekers zoals Mandiant denken dat de bende voor zijn aanvallen gestolen OAuth-authenticatietokens gebruikte van de Salesloft Drift AI-app, die integreert met Salesforce. Op die manier konden ze gevoelige informatie zoals wachtwoorden, AWS-sleutels en tokens voor het cloudopslagbedrijf Snowflake stelen. Een extra set gegevens zou gestolen zijn via phishing. Daarbij overtuigden de aanvallers medewerkers om een kwaadaardige OAuth-app te koppelen aan het Salesforce-platform van hun bedrijf.

In samenwerking met Data News