Theo Bloomberg, Salesforce đã gửi email tới khách hàng hôm 7/10, khẳng định “không đàm phán, không thương lượng, và không trả bất kỳ khoản tống tiền nào”.
Công ty cũng cảnh báo rằng có “nguồn tin tình báo đáng tin cậy” cho thấy nhóm tin tặc dự định công khai dữ liệu bị đánh cắp.
Thông báo này được đưa ra ngay sau khi nhóm tin tặc tự xưng “Scattered Lapsus$ Hunters” khởi chạy một trang web rò rỉ dữ liệu nhằm tống tiền 39 công ty có dữ liệu bị đánh cắp từ hệ thống Salesforce.
Trang web được đặt trên tên miền breachforums[.]hn, gợi nhớ đến diễn đàn BreachForums khét tiếng chuyên buôn bán và rò rỉ dữ liệu bị hack.
Trong danh sách các nạn nhân bị đe dọa có nhiều tập đoàn lớn như FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, McDonald’s, Walgreens, Adidas, Air France-KLM, Chanel, IKEA cùng nhiều thương hiệu nổi tiếng khác.
Nhóm tin tặc tuyên bố đã chiếm được gần 1 tỷ bản ghi dữ liệu và đe dọa sẽ công khai toàn bộ nếu không nhận được tiền chuộc - dù từ từng công ty riêng lẻ hay một khoản thanh toán chung từ Salesforce.
Hai chiến dịch tấn công lớn trong năm 2025
Theo Salesforce, các cuộc tấn công diễn ra trong hai đợt riêng biệt. Đợt đầu tiên bắt đầu từ cuối năm 2024, khi tin tặc giả danh nhân viên IT để lừa nhân viên công ty kết nối ứng dụng OAuth độc hại vào hệ thống Salesforce.
Sau khi có quyền truy cập, chúng tải xuống cơ sở dữ liệu và gửi email tống tiền. Các nạn nhân bao gồm Google, Cisco, Qantas, Adidas, Allianz Life, Farmers Insurance, Workday, Kering và các công ty con của LVMH như Dior, Louis Vuitton, Tiffany & Co.
Đợt tấn công thứ hai khởi phát từ tháng 8/2025, khi tin tặc dùng token Drift OAuth của SalesLoft bị đánh cắp để xâm nhập môi trường CRM của khách hàng và đánh cắp dữ liệu.
Nhóm này nhắm vào các dữ liệu hỗ trợ khách hàng để truy tìm thông tin đăng nhập, token API và dữ liệu xác thực nhằm mở rộng phạm vi xâm nhập vào hạ tầng doanh nghiệp.
Một thành viên nhóm ShinyHunters, được cho là đứng sau vụ việc, nói với BleepingComputer rằng chúng đã đánh cắp khoảng 1,5 tỷ bản ghi dữ liệu của hơn 760 công ty.
Các doanh nghiệp xác nhận bị ảnh hưởng bao gồm Google, Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, Nutanix, Qualys, Rubrik, Palo Alto Networks...
Trang web được nhóm Scattered Lapsus$ Hunters sử dụng chủ yếu để tống tiền các nạn nhân trong chiến dịch đầu tiên, đồng thời cảnh báo sẽ bắt đầu công khai dữ liệu từ các vụ tấn công Salesloft sau ngày 10/10. Tuy nhiên, chỉ vài ngày sau, nó đã bị đóng cửa.
Tên miền hiện đang sử dụng máy chủ định danh của Cloudflare (surina.ns.cloudflare.com và hans.ns.cloudflare.com) - hai máy chủ từng được FBI sử dụng khi tịch thu các tên miền phạm pháp. Dù vậy, chưa rõ FBI có liên quan đến vụ việc lần này hay không.
(Theo Bleeping Computer)
