Có trụ sở chính tại Pleasanton, California, Workday có hơn 19.300 nhân viên tại các văn phòng trên khắp Bắc Mỹ, châu Âu, Trung Đông, châu Phi (ĐEMEA) và APJ. Danh sách khách hàng của Workday bao gồm hơn 11.000 tổ chức thuộc nhiều ngành nghề khác nhau, bao gồm hơn 60% các công ty trong danh sách Fortune 500.

Như công ty Workday đã tiết lộ trong một bài đăng trên blog hôm thứ Sáu, những kẻ tấn công đã chiếm được quyền truy cập vào một số thông tin được lưu trữ trên các hệ thống CRM bị xâm nhập, đồng thời cho biết thêm rằng không có khách hàng nào bị ảnh hưởng.

"Chúng tôi muốn thông báo cho các bạn về một chiến dịch kỹ thuật xã hội gần đây nhắm vào nhiều tổ chức lớn, bao gồm cả Workday", gã khổng lồ về nhân sự này cho biết. "Gần đây, chúng tôi đã xác định Workday đã bị nhắm mục tiêu và các tác nhân đe dọa đã có thể truy cập một số thông tin từ nền tảng CRM của bên thứ ba. Hiện không có dấu hiệu nào cho thấy có quyền truy cập vào các khách hàng thuê hoặc dữ liệu trong đó."

Tấn công kỹ thuật xã hội là một loại tấn công mạng dựa trên việc thao túng tâm lý của con người để lừa người khác cung cấp thông tin nhạy cảm hoặc thực hiện các hành động gây nguy hiểm cho bảo mật.

Tuy nhiên, một số thông tin liên hệ kinh doanh đã bị lộ trong sự cố, bao gồm dữ liệu khách hàng có thể được sử dụng trong các cuộc tấn công tiếp theo.

"Loại thông tin mà tác nhân thu thập được chủ yếu là thông tin liên hệ kinh doanh phổ biến, chẳng hạn như tên, địa chỉ email và số điện thoại, có khả năng được sử dụng để thực hiện các vụ lừa đảo kỹ thuật xã hội", công ty cho biết thêm.

Trong một thông báo riêng được gửi đến các khách hàng có khả năng bị ảnh hưởng và được các chuyên gia của BleepingComputer xem được, công ty cho biết thêm rằng vụ vi phạm đã được phát hiện gần hai tuần trước, vào ngày 6 tháng 8.

Workday cũng thông tin thêm rằng, những kẻ tấn công đã liên lạc với nhân viên qua tin nhắn văn bản hoặc điện thoại, giả vờ là nhân viên của bộ phận Nhân sự hoặc CNTT, nhằm lừa họ tiết lộ quyền truy cập tài khoản hoặc thông tin cá nhân.

Một phát ngôn viên của Workday đã trích dẫn bài đăng trên blog của công ty hôm thứ Sáu tuần trước khi được yêu cầu xác nhận rằng, những kẻ tấn công đã xâm phạm một phiên bản Salesforce và mô tả bản chất của thông tin bị lộ là "thông tin liên hệ kinh doanh phổ biến".

Bị xâm phạm trong các cuộc tấn công đánh cắp dữ liệu Salesforce

Mặc dù công ty không trực tiếp xác nhận, BleepingComputer đã biết rằng sự cố Workday là một phần của làn sóng vi phạm an ninh liên quan đến nhóm tống tiền ShinyHunters, nhắm vào các phiên bản CRM của Salesforce thông qua các cuộc tấn công kỹ thuật xã hội và lừa đảo qua giọng nói.

Nhiều công ty lớn khác trên toàn thế giới cũng đã bị xâm phạm trong chiến dịch này gần đây, bao gồm Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co., Chanel và gần đây nhất là Google.

Các cuộc tấn công này được cho là đã bắt đầu vào đầu năm nay, với việc các tác nhân đe dọa lừa nhân viên của các công ty mục tiêu liên kết một ứng dụng OAuth độc hại với các phiên bản Salesforce của công ty họ thông qua các cuộc tấn công kỹ thuật xã hội.

Sau khi được kết nối, những kẻ tấn công sử dụng kết nối để tải xuống và đánh cắp cơ sở dữ liệu của công ty, sau đó dữ liệu bị đánh cắp được sử dụng để tống tiền nạn nhân qua email.

Các yêu cầu tống tiền được ký kết là đến từ ShinyHunters, một nhóm tống tiền khét tiếng có liên quan đến nhiều vụ tấn công nghiêm trọng trong nhiều năm qua, bao gồm các vụ tấn công Snowflake và các vụ tấn công vào AT&T và PowerSchool.

Hà Linh