法国时尚巨头香奈儿成为Salesforce数据窃取事件的最新受害者。此次攻击于7月25日被发现，通过第三方服务提供商入侵了香奈儿的数据库，泄露了部分美国客户的个人联系信息，包括姓名、电子邮箱、邮寄地址和电话号码。攻击归因于黑客组织ShinyHunters，他们利用语音钓鱼等社交工程手段入侵Salesforce客户账户，窃取数据库并进行勒索。Salesforce方面强调平台本身未被攻破，问题在于客户账户的安全措施不足。除香奈儿外，阿迪达斯、澳洲航空、安联人寿、路易威登、迪奥和蒂芙尼等公司也成为此轮攻击的受害者。

香奈儿成为Salesforce数据窃取攻击的最新受害者，攻击者通过第三方服务提供商入侵其数据库，导致部分美国客户的姓名、电子邮箱、邮寄地址和电话号码等个人联系信息泄露。

此次攻击被指向黑客组织ShinyHunters，他们通过语音钓鱼等社交工程手段，诱骗员工授权恶意OAuth应用或窃取凭证，从而入侵Salesforce客户门户并窃取数据库进行勒索。

Salesforce公司声明其平台本身并未被攻破，问题源于客户账户遭遇的钓鱼攻击和社交工程，并建议客户启用多因素认证、实施最小权限原则及严格管理关联应用以加强安全。

除了香奈儿，包括阿迪达斯、澳洲航空、安联人寿以及LVMH集团旗下的路易威登、迪奥和蒂芙尼等知名企业也在此轮攻击中成为受害者，显示了此次攻击的广泛性。

HackerNews 编译，转载请注明出处：

法国时尚巨头香奈儿成为Salesforce数据窃取攻击的最新受害者。据《女装日报》率先报道，香奈儿表示威胁行为者通过第三方服务提供商入侵其数据库，事件于7月25日首次被发现。此次泄露仅影响美国客户，涉及个人联系信息。

香奈儿发言人声明：“调查显示，未经授权的外部方仅获取了美国客户服务中心部分联系人的有限信息——具体包括姓名、电子邮箱、邮寄地址和电话号码。数据库未包含其他信息，受影响客户已获告知。”尽管香奈儿未回应媒体问询且未透露第三方服务商名称，网络安全媒体BleepingComputer确认数据是从该公司Salesforce实例窃取。

此次攻击被归因于黑客组织ShinyHunters发起的Salesforce数据窃取攻击浪潮。据Mandiant首次披露，攻击者通过语音钓鱼（vishing）攻击定向入侵Salesforce客户：诱骗员工授权恶意OAuth应用或窃取凭证访问其Salesforce门户。一旦侵入系统，便窃取数据库并以此勒索客户。

Salesforce向BleepingComputer强调其平台未被攻破，问题源于客户账户遭社工攻击：“Salesforce自身无安全漏洞，事件均由钓鱼攻击和社交工程导致。我们持续建议客户启用多因素认证（MFA）、实施最小权限原则并严格管理关联应用。”截至目前，攻击者尚未公开泄露任何企业数据，仅通过电子邮件实施勒索。

除香奈儿外，此轮攻击的受害者还包括阿迪达斯、澳洲航空、安联人寿，以及LVMH集团旗下路易威登、迪奥和蒂芙尼。BleepingComputer知悉其他未公开的潜在受害企业，但尚未能独立核实。

 

 

 

---

消息来源：bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文