Sự cố rò rỉ dữ liệu của Salesforce thu hút sự chú ý đặc biệt từ các tập đoàn công nghệ và tài chính lớn, do mức độ nhạy cảm và phạm vi ảnh hưởng của dữ liệu bị chiếm đoạt. Salesforce hiện là nền tảng quản trị khách hàng (CRM) lớn nhất thế giới, được hàng nghìn doanh nghiệp toàn cầu, trong đó có nhiều ngân hàng, công ty bảo hiểm và tập đoàn đa quốc gia, sử dụng để lưu trữ dữ liệu khách hàng.

Ảnh minh họa. Nguồn Internet

Thủ đoạn “đánh lừa con người” và công cụ bị giả mạo

Các nhà nghiên cứu tình báo an ninh mạng đã phát hiện trang web này lần đầu vào ngày 2/10, được tin tặc đăng tải nhằm gia tăng sức ép buộc các công ty nạn nhân phải chấp nhận trả tiền chuộc, nếu không muốn dữ liệu bị tung ra công khai.

Khác với những vụ tấn công mạng thông thường nhằm vào lỗ hổng kỹ thuật, nhóm tội phạm chủ yếu khai thác yếu tố con người. Chúng sử dụng vishing (gọi điện mạo danh) để lừa nhân viên cấp quyền hoặc cài đặt một phiên bản Data Loader (công cụ hợp pháp dùng để nhập/xuất dữ liệu hàng loạt trong Salesforce) đã bị chỉnh sửa. Khi bị cài đặt, công cụ này cho phép xuất khẩu lượng dữ liệu khổng lồ mà khó bị phát hiện.

Trên trang web rò rỉ, tin tặc liệt kê khoảng 40 doanh nghiệp, trong đó có Allianz Life, Google, Toyota, FedEx, Hulu, Qantas, Workday và Stellantis đã bị chiếm đoạt dữ liệu. Allianz Life đã xác nhận khoảng 1,5 triệu cá nhân bị ảnh hưởng và báo cáo sự cố tới cơ quan quản lý. Dù danh sách còn gây tranh cãi, nhóm tin tặc đã tung một số mẫu dữ liệu để chứng minh lời đe dọa.

Ccác nhà cung cấp dịch vụ tài chính, đặc biệt là các công ty quản lý tài sản và bảo hiểm của Hoa Kỳ, đang triển khai Salesforce Financial Services Cloud hay các nền tảng tích hợp như Practifi và Salentica đang đối mặt với rủi ro lớn. Các tổ chức như RBC Wealth Management, US Bank và Pacific Life đều công khai tuyên bố sử dụng Salesforce để tập trung dữ liệu khách hàng, khiến sự cố rò rỉ này có thể làm lộ thông tin đầu tư và kế hoạch tài chính nhạy cảm vào tay tội phạm.

Theo Google Threat Intelligence, Scattered LAPSUS$ Hunters thực chất là sự liên kết lỏng lẻo giữa nhiều nhóm tin tặc quốc tế nổi tiếng. Cách phối hợp này giúp các nhóm hackers mở rộng quy mô và tăng mức độ tinh vi của chiến dịch tấn công.

Salesforce phủ nhận bị tấn công, nhưng đối mặt với nguy cơ bị khởi kiện

Trong thông cáo gửi báo chí, Salesforce khẳng định không có dấu hiệu cho thấy hệ thống cốt lõi của doanh nghiệp bị xâm phạm và không phát hiện bất kỳ lỗ hổng nào trong nền tảng. Công ty cho rằng chiến dịch tống tiền chỉ nhắm vào khách hàng, chứ không phải lỗi xuất phát từ Salesforce.

Ngoài các mối đe dọa đòi tiền chuộc trực tiếp, nhóm tin tặc còn ám chỉ có thể hỗ trợ khởi kiện chính Salesforce, viện dẫn nghĩa vụ tuân thủ theo Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu. Trong một thông báo, nhóm tin tặc viết: “Tổ chức của bạn có thể ngăn chặn việc phát hành dữ liệu này, giành lại quyền kiểm soát tình hình và mọi hoạt động vẫn ổn định như thường lệ”, đồng thời ám chỉ rằng nếu dữ liệu bị công khai, Salesforce có thể phải chịu trách nhiệm dân sự.

Đáng chú ý, sự việc diễn ra chỉ ít tuần sau khi Salesforce vá lỗ hổng ForcedLeak trong nền tảng AI Agentforce. Lỗ hổng này cho phép tin tặc đánh cắp dữ liệu nhạy cảm từ công cụ quản lý quan hệ khách hàng (CRM) bằng cách tiêm mã độc nhắc nhở gián tiếp. Dù lỗ hổng đã được vá, nhưng các chuyên gia cho rằng, khi AI và điện toán đám mây ngày càng tích hợp sâu, bề mặt tấn công hệ thóng sẽ mở rộng nhanh chóng.

Các chuyên gia cảnh báo xu hướng mới của tội phạm mạng không còn là mã hóa dữ liệu để đòi tiền chuộc, mà là đe dọa công khai dữ liệu để tăng sức ép. Nếu quy mô gần một tỷ hồ sơ được xác thực, đây sẽ là một trong những vụ rò rỉ dữ liệu lớn nhất lịch sử, cho thấy nhu cầu cấp thiết cần nâng cao phương thức quản trị truy cập, đào tạo nhân viên phòng chống lừa đảo và tăng cường giám sát các công cụ tích hợp trong hệ sinh thái đám mây.

An Lâm (Theo investmentnew; TechCrunch)