HackerNews 编译，转载请注明出处： 一位使用标识符1011进行活动的威胁行为者在暗网论坛上公开声称，其已获取并泄露了来自NordVPN开发基础设施的敏感数据。 据报道，此次泄露暴露了超过十个数据库的源代码，以及可能对该VPN提供商运营安全构成重大风险的关键身份验证凭证。 攻击者声称，他们是通过位于巴拿马的一台配置错误的开发服务器获得访问权限的。这一发现凸显了整个科技行业存在安全防护不足的开发环境所带来的持续脆弱性。 根据最初的披露，泄露的受损数据包括NordVPN核心系统的源代码仓库、Salesforce API密钥和Jira令牌。 这些凭证允许直接访问用于客户关系管理和项目跟踪的关键业务工具。 该威胁行为者已发布了样本SQL转储文件，揭示了敏感数据库表的结构，包括salesforce_api_step_details表和api_keys配置，这证明了其对NordVPN后端基础设施的访问权限。 Dark Web Informer的分析师在2026年1月4日威胁行为者在暗网论坛分享证据后，确认了此次泄露。 研究人员指出，这一事件例证了开发服务器为何常常因其相比生产环境更为宽松的安全配置而成为有吸引力的目标。 数据库架构信息和API密钥结构的泄露，显著增加了针对NordVPN更广泛生态系统发起后续攻击的风险。 此次攻击途径的核心是针对配置错误服务器进行凭证暴力破解，这种技术对于缺乏适当速率限制和访问控制的系统而言，仍然具有令人不安的效力。 这种方法涉及系统性地尝试各种密码组合直至获得进入权限，在防御措施缺失或不足的情况下，这是一种直接但有效的手段。 此次泄露与标准数据盗窃的不同之处在于源代码本身的暴露，这使得攻击者获得了数百万用户赖以保护隐私的系统的架构知识。 其影响超出了NordVPN的直接运营范围。随着API密钥和Jira令牌进入公开流通，威胁态势已扩大到包括在集成服务内进行潜在的横向移动，以及对内部项目管理系统的可能操纵。 安全研究人员建议NordVPN立即对所有开发基础设施进行安全审计，在所有平台上轮换已泄露的凭证，并通过强制执行多因素认证来加强身份验证协议。 管理类似开发环境的组织应实施更严格的访问控制和持续监控，以防止发生类似的泄露事件。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare成为近期一系列Salesloft Drift泄露事件的最新受影响公司，这些事件是上周披露的一起供应链攻击的一部分。 这家互联网巨头于周二透露，攻击者获得了其用于内部客户案例管理和客户支持的Salesforce实例的访问权限，该实例包含104个Cloudflare API令牌。 Cloudflare于8月23日收到漏洞通知，并于9月2日向受影响的客户通报了该事件。在将攻击事件告知客户之前，该公司还轮换了所有在泄露期间被窃取的104个由Cloudflare平台颁发的令牌，尽管尚未发现与这些令牌相关的任何可疑活动。 “这些信息大部分是客户联系信息和基本支持案例数据，但一些客户支持互动可能会透露客户配置信息，并可能包含访问令牌等敏感信息，”Cloudflare表示。 “鉴于Salesforce支持案例数据包含与Cloudflare的支持工单内容，客户可能通过我们的支持系统与Cloudflare共享的任何信息——包括日志、令牌或密码——都应视为已泄露，我们强烈建议您轮换可能通过此渠道与我们共享的任何凭据。” 公司的调查发现，在8月9日的初步侦察阶段之后，威胁行为者在8月12日至8月17日期间仅窃取了Salesforce案例对象中包含的文本（包括客户支持工单及其相关数据，但不包括附件）。 这些被窃取的案例对象仅包含基于文本的数据，包括： Salesforce案例的主题行 案例正文（如果客户向Cloudflare提供，可能包含密钥、机密信息等） 客户联系信息（例如，公司名称、请求者的电子邮件地址和电话号码、公司域名和公司所在国家） “我们认为这起事件并非孤立事件，而是威胁行为者意图收集凭证和客户信息以供未来攻击之用，”Cloudflare补充道。 “鉴于此次Drift漏洞事件影响了数百家组织，我们怀疑威胁行为者将利用这些信息对受影响组织的客户发起针对性攻击。” Salesforce数据泄露浪潮 今年以来，ShinyHunters勒索组织一直以 Salesforce 客户为目标进行数据窃取攻击，他们使用语音钓鱼（vishing）欺骗员工将恶意的 OAuth 应用程序与其公司的 Salesforce 实例关联起来。这种策略使攻击者能够窃取数据库，随后用于勒索受害者。 自谷歌在6月份首次报道这些攻击以来，多起数据泄露事件都与ShinyHunters的社会工程策略有关，包括针对谷歌自身、思科、澳洲航空（Qantas）、安联人寿（Allianz Life）、农夫保险（Farmers Insurance）、Workday、阿迪达斯（Adidas），以及路威酩轩（LVMH）子公司路易威登（Louis Vuitton）、迪奥（Dior）和蒂芙尼（Tiffany & Co.）的攻击。 尽管一些安全研究人员告诉BleepingComputer，Salesloft供应链攻击涉及相同的威胁行为者，但谷歌尚未找到确凿证据将它们联系起来。 其他受害企业 Palo Alto Networks也在周末确认，Salesloft Drift漏洞背后的威胁行为者窃取了一些客户提交的支持数据，包括联系信息和文本评论。 Palo Alto Networks的事件也仅限于其Salesforce CRM，正如该公司告诉BleepingComputer的那样，它没有影响任何其产品、系统或服务。 这家网络安全公司观察到攻击者搜索机密信息，包括AWS访问密钥（AKIA）、VPN和SSO登录字符串、Snowflake令牌，以及诸如“secret”、“password”或“key”之类的通用关键词，这些信息可能被用于入侵更多云平台以窃取数据，从而进行其他勒索攻击。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人力资源解决方案公司Workday披露，未知威胁行为者通过高级社会工程手段成功入侵其第三方CRM平台，手法与近期Salesforce攻击浪潮如出一辙。这家总部位于旧金山的公司于周五在官网发布公告警示客户。 “我们希望告知近期针对多家大型组织（包括Workday）的社会工程攻击活动，”声明指出。攻击者通过“短信或电话联系员工，伪装成人力资源部或IT部门人员”，这种被称为语音钓鱼（vishing）的手段与黑客团伙Shiny Hunters（UNC6240）今夏针对数十家Salesforce环境的攻击策略高度相似。 Workday成立于2005年，是专注人力资源与财务管理的云服务供应商，拥有近2万名员工及全球超1.1万家企业客户，服务合同用户超7000万，2024年营收达84亿美元。Closed Door Security首席执行官威廉·赖特分析称：“与其他CRM数据窃取事件类似，攻击者诱骗员工授予平台访问权限后实施数据外泄。”泄露数据主要为“常见商业联系信息，如姓名、邮箱和电话号码”，可能被用于升级社会工程诈骗。 赖特强调此类信息泄露将“严重打击客户信任”，增加鱼叉式钓鱼与欺诈风险。他进一步指出，ShinyHunters关联攻击事件激增表明“员工需接受更复杂社会工程攻击的培训”：“当前员工已熟悉传统钓鱼邮件，但语音钓鱼因缺乏针对性培训而异常有效”。 Workday重申“无迹象表明客户租户或内部数据被访问”，并提醒客户“官方通知仅通过认证支持渠道发送，绝不会通过电话索要密码等安全信息”。CybaVerse首席技术官朱丽叶·哈德森认为攻击特征指向ShinyHunters为主谋：“培训员工识别语音钓鱼仅是基础，随着攻击者伪装技术日益精密，企业需强化内部认证协议。”她举例说明：“若客服人员与员工通话时需验证身份才能分享敏感数据，此类攻击成功率将大幅降低”。 2025年3月，Salesforce曾预警语音钓鱼攻击导致约20家企业数据外泄，黑客篡改其数据加载工具实施入侵。6月谷歌旗下Mandiant确认Shiny Hunters为该活动幕后黑手，业界推测其与Scattered Spider勒索团伙存在关联或协作。近期受害企业包括可口可乐、思科、澳航、安联人寿、阿迪达斯及路易威登母公司LVMH等。Workday表示发现入侵后已立即切断访问权限，并增设防护措施防止类似事件重演。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 丹麦珠宝巨头Pandora披露了一起数据泄露事件，其客户信息在持续的Salesforce数据窃取攻击中被盗。 Pandora是全球最大的珠宝品牌之一，拥有2700个门店及超过37,000名员工。 “我们特此告知您，您的联系信息被未经授权方通过我们使用的第三方平台获取，”Pandora发送给客户的数据泄露通知中写道。“我们已终止该访问行为，并进一步强化了安全措施。” 据《福布斯》率先报道，此次攻击中仅窃取了客户的姓名、出生日期和电子邮箱地址。密码、身份证明文件及财务信息未遭泄露。 尽管Pandora未公布第三方平台名称，但BleepingComputer获悉数据是从该公司的Salesforce数据库中窃取的。 自2025年1月（或更早）起，威胁攻击者持续针对企业员工及服务台开展社会工程和钓鱼攻击。这些攻击旨在窃取Salesforce凭证，或诱骗员工向恶意OAuth应用授予其Salesforce账户的访问权限。 攻击者利用该权限下载并窃取企业的Salesforce数据库，继而勒索企业支付赎金以阻止数据泄露。 ShinyHunters组织向BleepingComputer证实，他们正私下勒索企业，并威胁将对拒绝支付赎金的企业实施大规模数据销售或泄露，其手法类似此前针对Snowflake的数据窃取攻击。该组织同时确认攻击仍在持续，因此所有企业应遵循Salesforce关于强化账户安全的建议。 Salesforce向BleepingComputer表示：“Salesforce平台本身未遭入侵，所述问题也非因平台已知漏洞所致。尽管我们为企业级安全构建了全面防护，但客户在保障自身数据安全方面同样扮演关键角色——尤其是在复杂钓鱼与社会工程攻击激增的背景下。我们持续敦促所有客户遵循安全最佳实践，包括启用多因素认证（MFA）、执行最小权限原则，以及审慎管理关联应用。” 其他受此攻击影响的企业包括阿迪达斯（Adidas）、澳洲航空（Qantas）、安联人寿（Allianz Life），以及LVMH集团旗下的路易威登（Louis Vuitton）、迪奥（Dior）和蒂芙尼（Tiffany & Co.）。但据BleepingComputer了解，尚有更多未公开披露的受害企业。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国时尚巨头香奈儿成为Salesforce数据窃取攻击的最新受害者。据《女装日报》率先报道，香奈儿表示威胁行为者通过第三方服务提供商入侵其数据库，事件于7月25日首次被发现。此次泄露仅影响美国客户，涉及个人联系信息。 香奈儿发言人声明：“调查显示，未经授权的外部方仅获取了美国客户服务中心部分联系人的有限信息——具体包括姓名、电子邮箱、邮寄地址和电话号码。数据库未包含其他信息，受影响客户已获告知。”尽管香奈儿未回应媒体问询且未透露第三方服务商名称，网络安全媒体BleepingComputer确认数据是从该公司Salesforce实例窃取。 此次攻击被归因于黑客组织ShinyHunters发起的Salesforce数据窃取攻击浪潮。据Mandiant首次披露，攻击者通过语音钓鱼（vishing）攻击定向入侵Salesforce客户：诱骗员工授权恶意OAuth应用或窃取凭证访问其Salesforce门户。一旦侵入系统，便窃取数据库并以此勒索客户。 Salesforce向BleepingComputer强调其平台未被攻破，问题源于客户账户遭社工攻击：“Salesforce自身无安全漏洞，事件均由钓鱼攻击和社交工程导致。我们持续建议客户启用多因素认证（MFA）、实施最小权限原则并严格管理关联应用。”截至目前，攻击者尚未公开泄露任何企业数据，仅通过电子邮件实施勒索。 除香奈儿外，此轮攻击的受害者还包括阿迪达斯、澳洲航空、安联人寿，以及LVMH集团旗下路易威登、迪奥和蒂芙尼。BleepingComputer知悉其他未公开的潜在受害企业，但尚未能独立核实。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌6月4日（周三）披露，黑客正诱骗欧美企业员工安装篡改版Salesforce关联应用，借此窃取海量数据、入侵企业云服务并实施勒索。 谷歌威胁情报小组追踪为UNC6040的黑客组织“在诱骗员工方面特别有效”。研究人员称，该组织诱导员工安装篡改版Salesforce数据加载器（Data Loader）——该专有工具通常用于批量导入Salesforce环境数据。黑客通过语音电话诱骗员工访问伪装的Salesforce关联应用设置页面，诱导其批准黑客仿制的未授权篡改应用。 若员工安装该应用，黑客将获得“从受侵Salesforce客户环境直接访问、查询和窃取敏感信息的强大能力”。研究人员指出，此类访问权限常使黑客能在客户网络内横向移动，进而攻击其他云服务及内部企业网络。 谷歌旗下Mandiant在X平台警示称：“企业准备好应对语音钓鱼了吗？UNC6040是以经济利益驱动的威胁集群，专门通过语音钓鱼（vishing）入侵企业Salesforce系统实施大规模数据窃取。” 该活动技术基础设施与松散犯罪生态系统“The Com”存在关联特征。谷歌发言人向路透社透露，过去数月约有20家机构遭UNC6040攻击，其中部分机构数据已被成功窃取。Salesforce发言人则声明：“无证据表明该问题源于平台固有漏洞”，并强调这是“针对个人网络安全意识漏洞的社会工程骗局”。 该发言人拒绝透露具体受影响客户数量，但表示“仅涉及少数客户，并非普遍性问题”。实际上，Salesforce早在2025年3月就预警过语音钓鱼攻击及篡改版数据加载器的滥用风险。 上月，可口可乐欧洲太平洋合作伙伴（CCEP）的64GB数据遭泄露。业内人士怀疑攻击者并非直接入侵可口可乐系统，而是通过该公司Salesforce账户获取数据。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌警告称，专业从事语音钓鱼（vishing）攻击的黑客组织UNC6040正针对Salesforce客户发起大规模数据窃取与勒索活动。该组织通过电话伪装成IT支持人员，诱骗目标企业员工授权恶意应用访问其Salesforce门户。 攻击过程中，UNC6040引导受害者访问Salesforce连接应用设置页面，诱导其批准经恶意篡改的Data Loader应用（Salesforce官方数据导入工具）的未授权版本。一旦获得访问权限，攻击者即可窃取企业Salesforce环境中的敏感信息，并利用这些数据实施勒索——部分案例中勒索行为发生在入侵数月后。 谷歌强调：“此类访问权限不仅直接导致数据外泄，更常成为横向渗透的跳板，使攻击者得以入侵其他云服务及企业内部网络。” 观测发现UNC6040利用Data Loader工具窃取数据后，已横向移动至Microsoft 365、Okta及Workplace等平台。 谷歌指出，所有案例中UNC6040仅依赖社会工程学实现初始入侵，未利用Salesforce平台漏洞（Salesforce数月前已预警此类攻击）。本次持续数月的攻击已波及美洲和欧洲约20家机构，涵盖教育、酒店、零售等多领域，具有明显的投机性特征。 该组织声称与臭名昭著的ShinyHunters黑客团伙存在关联（谷歌推测实为虚张声势），试图借此向受害者施压。其攻击基础设施同时托管用于钓鱼Okta凭证的欺诈面板，通话中还会索要用户密码及多因素认证码。 谷歌溯源发现，UNC6040的攻击策略与黑客团体“The Com”（Scattered Spider隶属该组织）高度重合，包括：通过IT支持实施社会工程、窃取Okta凭证、重点针对跨国企业英语用户等。这反映出威胁行为体正将IT支持人员作为入侵企业数据的核心突破口，凸显出日益严峻的安全趋势。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文