2025 年 11 月 21 日,谷歌威胁情报集团首席威胁分析师奥斯汀・拉森(Austin Larsen)证实,一场源于客户支持平台 Gainsight 的供应链攻击已导致超 200 家企业的 Salesforce 存储数据被窃取。黑客组织 Scattered Lapsus$ Hunters 宣称对此负责,并计划下周搭建专属网站对受害企业实施勒索。
此次攻击事件的源头可追溯至 Gainsight 的安全漏洞。11 月 19 日,Salesforce 率先披露 “部分客户的 Salesforce 数据” 遭窃取,明确数据泄露是通过 Gainsight 发布的应用程序发生,但未提及具体受害企业。随后,由 ShinyHunters、Scattered Spider、Lapsus $等黑客团体组成的Scattered Lapsus$ Hunters 在 Telegram 频道发声,承认发起此次攻击,并列出 Atlassian、DocuSign、GitLab、LinkedIn、威瑞森(Verizon)、汤森路透(Thomson Reuters)等多家知名企业作为攻击目标。
谷歌方面表示,目前已确认有超 200 个 Salesforce 实例可能受到影响,但未披露具体受害企业名单。各涉事企业回应不一:网络安全巨头 CrowdStrike 明确表示 “未受 Gainsight 事件影响,客户数据均安全”,此前该公司曾因内部人员向黑客泄密而解雇相关员工;电子签名服务提供商 DocuSign 经内部调查后称 “暂无数据泄露迹象”,但为谨慎起见已终止所有 Gainsight 集成并管控相关数据流;威瑞森则称黑客的指控 “缺乏依据”;Malwarebytes、汤森路透等企业表示正积极展开调查,其余多数被点名企业暂未回应。
据 ShinyHunters 团体透露,此次攻击的关键在于此前针对营销平台 Salesloft 旗下 Drift 产品的黑客行动 —— 他们窃取了 Drift 的认证令牌,进而入侵关联的 Salesforce 实例,而 Gainsight 作为 Salesloft Drift 的客户,其系统因此被完全攻破,成为黑客渗透更多企业的跳板。
Salesforce 在声明中强调,“暂无迹象表明此次事件源于 Salesforce 平台自身漏洞”,并已暂时撤销 Gainsight 关联应用的活跃访问令牌作为预防措施,同时通知受影响客户。Gainsight 则在其事件页面更新进展,称正与谷歌旗下网络安全公司 Mandiant 合作展开调查,确认攻击源于 “应用程序的外部连接,而非 Salesforce 平台的漏洞”,目前法医分析仍在进行中。
值得警惕的是,Scattered Lapsus$ Hunters 惯于通过勒索获利。该组织在 10 月的 Salesloft 事件中,就曾在窃取企业数据后搭建勒索网站,此次也明确表示将于下周推出专属网站,对本次攻击的受害企业进行敲诈。作为擅长社会工程学的黑客联合体,该组织近年来已成功攻击 MGM 度假村、Coinbase、DoorDash 等多家知名企业,此次大规模供应链攻击再次凸显了企业在第三方应用安全管控方面的重要性。
