Le gang qui prétend être responsable d’une vague de fuites de données via la plateforme Salesforce a mis en place un site de fuites (‘leak-site’) présentant des exemples de données divulguées.
L’objectif du site de fuites semble être de persuader les dizaines d’entreprises concernées de payer la rançon exigée, avant que davantage de leurs données ne soient divulguées en ligne. Le site d’extorsion répertorie les noms de 39 entreprises récemment victimes d’attaques. Des échantillons de données prétendument volées sont fournis pour chaque entreprise. Le site exhorte les entreprises à parvenir à un accord d’ici le 10 octobre, afin d’empêcher la divulgation publique de l’intégralité des données dérobées.
Parmi les victimes citées sur le site figurent plusieurs grandes entreprises renommées, dont IKEA, FedEx, Disney/Hulu, Marriott, Google, Cisco, Toyota, McDonald’s, Cartier, Adidas, Air France & KLM, HBO MAX, UPS et Chanel. ‘Chacune de ces entreprises a été contactée il y a longtemps déjà’, déclare un membre potentiel du gang au site technologique BleepingComputer. ‘Ils ont dû voir le mail, car nous savons qu’ils ont téléchargé des échantillons à plusieurs reprises.’
Extorsion
Le groupe à l’origine du site se présente sous l’appellation Scattered Lapsus$ Hunters et affirme être lié à d’autres gangs connus tels que ShinyHunters, Scattered Spiter et Lapsus$. Le groupe d’extorsion prétend être responsable d’une vague de fuites de données. Il aurait réussi à voler les données clients de dizaines d’entreprises via une appli de la plateforme Salesforce.
Comment des dizaines d’entreprises ont vu leurs données être divulguées via Salesforce
Il est par conséquent intéressant qu’ils lancent également un appel à Salesforce sur le site de fuites. Si cette entreprise est prête à payer (une somme importante), le gang ne divulguera aucune des données clients (un milliard de documents volés environ). Pour sa part, Salesforce a toujours affirmé que les attaques ne résultaient pas de vulnérabilités sur sa plateforme.
Des chercheurs en sécurité comme Mandiant pensent que pour ses attaques, le gang a utilisé des jetons d’authentification OAuth volés dans l’appli Salesloft Drift AI, intégrée à Salesforce. Ce faisant, il a réussi à dérober des informations sensibles telles que des mots de passe, des clés AWS et des jetons pour l’entreprise de stockage cloud Snowflake. Un ensemble supplémentaire de données aurait été volé par hameçonnage (‘phishing’). Les agresseurs ont ensuite convaincu des employés de lier une appli OAuth malveillante à la plateforme Salesforce de leur entreprise.