HackerNews 编译,转载请注明出处:
丹麦珠宝巨头Pandora披露了一起数据泄露事件,其客户信息在持续的Salesforce数据窃取攻击中被盗。
Pandora是全球最大的珠宝品牌之一,拥有2700个门店及超过37,000名员工。
“我们特此告知您,您的联系信息被未经授权方通过我们使用的第三方平台获取,”Pandora发送给客户的数据泄露通知中写道。“我们已终止该访问行为,并进一步强化了安全措施。”
据《福布斯》率先报道,此次攻击中仅窃取了客户的姓名、出生日期和电子邮箱地址。密码、身份证明文件及财务信息未遭泄露。
尽管Pandora未公布第三方平台名称,但BleepingComputer获悉数据是从该公司的Salesforce数据库中窃取的。
自2025年1月(或更早)起,威胁攻击者持续针对企业员工及服务台开展社会工程和钓鱼攻击。这些攻击旨在窃取Salesforce凭证,或诱骗员工向恶意OAuth应用授予其Salesforce账户的访问权限。
攻击者利用该权限下载并窃取企业的Salesforce数据库,继而勒索企业支付赎金以阻止数据泄露。
ShinyHunters组织向BleepingComputer证实,他们正私下勒索企业,并威胁将对拒绝支付赎金的企业实施大规模数据销售或泄露,其手法类似此前针对Snowflake的数据窃取攻击。该组织同时确认攻击仍在持续,因此所有企业应遵循Salesforce关于强化账户安全的建议。
Salesforce向BleepingComputer表示:“Salesforce平台本身未遭入侵,所述问题也非因平台已知漏洞所致。尽管我们为企业级安全构建了全面防护,但客户在保障自身数据安全方面同样扮演关键角色——尤其是在复杂钓鱼与社会工程攻击激增的背景下。我们持续敦促所有客户遵循安全最佳实践,包括启用多因素认证(MFA)、执行最小权限原则,以及审慎管理关联应用。”
其他受此攻击影响的企业包括阿迪达斯(Adidas)、澳洲航空(Qantas)、安联人寿(Allianz Life),以及LVMH集团旗下的路易威登(Louis Vuitton)、迪奥(Dior)和蒂芙尼(Tiffany & Co.)。但据BleepingComputer了解,尚有更多未公开披露的受害企业。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
