【TechCrunch 2025 年 11 月 21 日讯】全球 cybersecurity 领域突发重大数据泄露事件。谷歌威胁情报部门证实,黑客组织通过攻陷客户支持平台 Gainsight 的相关应用,窃取了存储在 Salesforce 平台上的 200 余家企业数据。此次供应链攻击由包含 ShinyHunters 在内的 “Scattered Lapsus$ Hunters” 黑客组织主导,已波及 Atlassian、DocuSign、LinkedIn 等多家知名企业,引发行业对供应链安全的广泛担忧。
攻击链条曝光:从 Salesloft 漏洞到 200 家企业数据失窃
此次大规模数据泄露的攻击路径清晰且隐蔽,源于黑客此前针对营销平台 Salesloft 旗下 Drift 产品的攻击行动。ShinyHunters 黑客团伙透露,他们通过窃取 Drift 的认证令牌,成功入侵了关联的 Salesforce 实例,而 Gainsight 作为 Salesloft Drift 的客户,其系统因此被完全攻陷,成为黑客进一步渗透的跳板。
借助 Gainsight 与众多企业在 Salesforce 平台上的关联权限,黑客得以获取大量敏感数据。谷歌威胁情报部门负责人奥斯汀・拉森证实,目前已发现超过 200 个 Salesforce 实例可能受到影响。黑客组织在 Telegram 频道中公开宣称对此次攻击负责,并列出了 Atlassian、CrowdStrike、GitLab、威瑞森等一系列疑似受害企业名单。
值得注意的是,Salesforce 在声明中强调,此次事件并非源于自身平台漏洞,而是第三方应用的外部连接问题,目前已暂时撤销 Gainsight 关联应用的活跃访问令牌,以防范风险扩大。Gainsight 则表示正与谷歌旗下 Mandiant 应急响应团队合作展开调查,法医分析仍在进行中。
企业回应分化:部分否认受影响,多家启动紧急排查
面对黑客的攻击声明,涉事企业的回应呈现分化。网络安全公司 CrowdStrike 明确表示未受 Gainsight 事件影响,客户数据保持安全,同时透露已解雇一名涉嫌向黑客传递信息的 “可疑内部人员”。Malwarebytes 发言人则称已知晓相关情况,安全团队正在积极调查。
威瑞森等企业确认收到媒体问询,但尚未披露具体情况。截至发稿,Atlassian、DocuSign、LinkedIn 等多数被点名企业尚未回应置评请求,其数据安全状况仍不明确。业内推测,部分企业可能仍在排查漏洞、评估损失,暂未公开相关信息。
黑客作案惯犯:以勒索为目的,社交工程是常用手段
发起此次攻击的 “Scattered Lapsus $ Hunters”是由ShinyHunters、Scattered Spider、Lapsus$ 等多个英语黑客团伙组成的犯罪联盟,以社交工程战术著称 —— 通过欺骗企业员工获取系统或数据库访问权限,在网络犯罪领域劣迹斑斑。
该组织此前已多次实施高知名度攻击,受害者包括美高梅度假村、Coinbase、DoorDash 等企业。其惯用作案模式是窃取数据后搭建专门勒索网站,向受害企业施压。此次攻击后,该组织已宣布计划在下周推出专属网站,对 200 余家受害企业发起勒索,与 10 月 Salesloft 事件后的作案手法如出一辙。
行业警示:供应链成黑客攻击重灾区,安全防护需全覆盖
此次大规模数据泄露再次暴露了供应链的安全脆弱性。随着企业数字化转型加速,各类第三方应用与平台的关联日益紧密,一旦其中某个环节出现漏洞,就可能引发连锁反应,导致大规模数据泄露。
安全专家指出,企业需加强对第三方合作伙伴的安全审核,建立完善的权限管理体系,定期排查外部连接的安全隐患。同时,针对社交工程攻击,应强化员工安全培训,提高防范意识。在数据保护方面,需落实加密存储、访问日志监控等措施,确保在安全事件发生时能快速响应、降低损失。
目前,Gainsight 与 Salesforce 的调查仍在持续,受害企业的具体名单与数据泄露规模尚未完全公布。行业将持续关注事件进展,此次攻击也有望推动企业进一步重视供应链安全,完善全方位的 cybersecurity 防护体系。
