La bande revendiquant la responsabilité d’une vague de fuites de données via la plateforme Salesforce a créé ce qu’on appelle un ‘leak-site’ présentant des exemples de données divulguées. Salesforce refuse cependant de payer la rançon exigée.
L’objectif du site de fuites semble être de persuader les dizaines d’entreprises concernées de payer la rançon exigée, avant que davantage de leurs données ne soient divulguées en ligne. Le site d’extorsion répertorie les noms de 39 entreprises récemment victimes d’attaques. Des échantillons de données prétendument volées sont fournis pour chaque entreprise. Le site exhorte les entreprises à parvenir à un accord d’ici le 10 octobre, afin d’empêcher la divulgation publique de l’intégralité des données dérobées.
Parmi les victimes citées sur le site figurent plusieurs grandes entreprises renommées, dont IKEA, FedEx, Disney/Hulu, Marriott, Google, Cisco, Toyota, McDonald’s, Cartier, Adidas, Air France & KLM, HBO MAX, UPS et Chanel. ‘Chacune de ces entreprises a été contactée il y a longtemps déjà’, déclare un membre potentiel du gang au site technologique BleepingComputer. ‘Ils ont dû voir le mail, car nous savons qu’ils ont téléchargé des échantillons à plusieurs reprises.’
Extorsion
Le groupe à l’origine du site se présente sous l’appellation Scattered Lapsus$ Hunters et affirme être lié à d’autres gangs connus tels que ShinyHunters, Scattered Spiter et Lapsus$. Le groupe d’extorsion prétend être responsable d’une vague de fuites de données. Il aurait réussi à voler les données clients de dizaines d’entreprises via une appli de la plateforme Salesforce.
Comment des dizaines d’entreprises ont vu leurs données être divulguées via Salesforce
Il est par conséquent intéressant qu’ils lancent également un appel à Salesforce sur le site de fuites. Si cette entreprise est prête à payer (une somme importante), le gang ne divulguera aucune des données clients (un milliard de documents volés environ). Pour sa part, Salesforce a toujours affirmé que les attaques ne résultaient pas de vulnérabilités sur sa plateforme.
Mise à jour du 09/10: Salesforce annonce via un communiqué de presse qu’elle ne paiera pas de rançon. ‘Je peux confirmer que Salesforce ne négocie pas à propos de cette tentative d’extorsion et ne versera donc rien’, déclare un porte-parole, qui ajoute que Salesforce a reçu des ‘informations crédibles sur la menace’, indiquant que la bande ShinyHunters prévoit de publier des données volées.
Des chercheurs en sécurité comme Mandiant pensent que pour ses attaques, le gang a utilisé des jetons d’authentification OAuth volés dans l’appli Salesloft Drift AI, intégrée à Salesforce. Ce faisant, il a réussi à dérober des informations sensibles telles que des mots de passe, des clés AWS et des jetons pour l’entreprise de stockage cloud Snowflake. Un ensemble supplémentaire de données aurait été volé par hameçonnage (‘phishing’). Les agresseurs ont ensuite convaincu des employés de lier une appli OAuth malveillante à la plateforme Salesforce de leur entreprise.