雲端服務巨頭 Salesforce 向客戶發送電子郵件,明確表態拒絕支付任何勒索贖金,即使威脅行為者「Scattered Lapsus$ Hunters」威脅將公開近 10 億筆被竊資料。這項強硬立場是在駭客推出資料洩露網站並勒索 39 家遭受資料竊取的企業後做出的回應。Salesforce 強調,基於「可靠情報」顯示駭客計劃洩露被竊資料,公司將不會回應、協商或支付任何勒索要求。
此次事件凸顯企業面對勒索攻擊時的艱難抉擇:支付贖金可能助長犯罪生態,但拒絕支付則可能導致客戶敏感資料外洩。
受害企業橫跨多個產業
被勒索的 39 家企業包括 FedEx、UPS、Disney/Hulu、Home Depot、麥當勞、香奈兒、卡地亞、Google、Cisco、萬豪酒店、豐田等全球知名組織,橫跨物流、娛樂、零售、科技、航空與奢侈品等產業。攻擊者聲稱竊取的資料總數接近 10 億筆記錄,並表示只有在個別公司支付贖金,或 Salesforce 一次性支付覆蓋所有受影響客戶的款項後,才會防止資料被公開。
延伸閱讀:ShinyHunters 鎖定 Salesforce 發動社交工程攻擊 Chanel、Pandora 等知名品牌
兩波攻擊手法各異
Salesforce 在 2025 年遭受兩波大規模資料竊取攻擊。第一波攻擊發生於 2024 年底,攻擊者採用社交工程手法,假冒 IT 人員誘導員工將惡意的 OAuth應用程式連接至 Salesforce 系統,進而竊取資料庫。這次攻擊影響 Google、Cisco、愛迪達、開雲集團等知名企業。
第二波攻擊始於 2025 年 8 月,駭客利用被竊的 SalesLoft Drift OAuth 令牌,入侵客戶的 CRM(客戶關係管理)環境。此次攻擊針對支援票據資料,包括 API令牌、認證令牌等敏感資訊。威脅行為者 ShinyHunters 透露,他們在第二波攻擊中竊取約 15 億筆資料記錄,影響超過 760 家公司,包括 Cloudflare、Zscaler、Palo Alto Networks 等資安與科技廠商。
企業面臨兩難決策
Salesforce 拒絕支付贖金的決策,將風險管理責任轉移到各受害企業。企業決策者現在必須評估:資料被公開的潛在損失是否大於支付贖金的成本?
多數資安專家不建議支付贖金,原因是支付無法保證資料不會外洩,反而可能讓企業成為未來攻擊目標。然而,當資料外洩可能導致重大營運中斷、法規罰款或商譽損失時,部分企業仍會考慮支付。
對台灣企業而言,若客戶資料包含台灣消費者個資,除了評估商業損失,還須考量《個人資料保護法》的裁處風險。
駭客建立的資料洩露網站目前已關閉,其域名使用的名稱伺服器過去曾被美國 FBI用於扣押非法網站,顯示美國執法單位可能已介入調查。然而,資安專家提醒,駭客可能已將資料備份至其他管道,受害企業仍應假設資料已外流。
Salesforce 明確拒付贖金的立場體現了「不向犯罪妥協」的原則,但也將風險轉移給受害客戶。這起事件提醒企業決策者:雲端服務的便利性背後,隱藏著供應鏈風險與資料安全挑戰。
延伸閱讀:Red Hat 遇重大資安危機:ShinyHunters 駭客集團接手勒索攻擊
本文轉載自 BleepingComputer。