Workday 漏洞可能与 ShinyHunters Salesforce 攻击有关

这家人力资源巨头表示，黑客对其第三方 CRM 系统发动了社会工程网络攻击，但无法访问客户信息;仅公开了“常用”业务联系信息。

专家推测，网络攻击者在一次事件中破坏了人力资源巨头 Workday 的第三方客户关系管理系统，该事件可能与威胁组织 ShinyHunters 的一系列攻击有关。该勒索组织一直以全球组织为目标，通过其 Salesforce CRM 实例窃取数据。

Workday 在 8 月 15 日的一篇博文中证实，它被一项活动破坏了，在该活动中，攻击者冒充公司人力资源部门的人员来说服员工和/或员工放弃信息。帖子称，这次攻击允许威胁行为者“从我们的第三方 CRM 平台访问一些信息”。

帖子称，攻击者获得了“常见的商业联系信息，如姓名、电子邮件地址和电话号码，可能进一步实施他们的社会工程诈骗”。该公司表示，没有迹象表明可以访问客户租户或其中的数据。

“访问了一些常见的业务联系信息，我们已经通知了我们的客户和合作伙伴，以便他们能够保护自己免受类似活动的影响，”Workday 企业传播负责人康纳·斯皮尔梅克 （Connor Spielmaker） 在一封电子邮件中告诉 Dark Reading。此外，“所有迹象都表明，我们客户的 Workday 数据仍然安全，”他说。

相关：如何将安全性放在心上，Vibe Code

Workday 表示，它迅速采取行动阻止对受感染系统的访问，而 Spielmaker 补充说，Workday“在内部采取了额外的安全措施来保护我们自己的员工”。他没有具体说明这些措施是什么。

Workday 总部位于加利福尼亚州普莱森顿，自诩为“用于管理人员、资金和代理的人工智能平台”，在全球拥有 19,300 多名员工。在 60 多家使用其技术进行人力资源的组织中，它占财富 500 强企业的 11,000% 以上。

链接到闪亮猎人

尽管 Spielmaker 没有回答有关该公司使用哪种第三方 CRM 系统的问题，但 Workday 和 Salesforce 建立了战略合作伙伴关系。斯皮尔曼还表示，Workday 是“复杂的社会工程骗局的几家目标公司之一”。

该骗局可能是一系列攻击之一，这些攻击已经诱捕了各行各业的知名巨石，包括谷歌、航空公司、法航和荷航、鞋匠阿迪达斯、保险提供商安联、蒂芙尼公司以及高级时装品牌迪奥和路易威登——所有这些都是通过他们的 Salesforce 实例进行的攻击。

事实上，攻击的作案手法指向了 ShinyHunters 的最新策略，ShinyHunters 是一个自我推销、出于经济动机的威胁组织，以从大型组织窃取数据并将其转化为地下市场上的现金而闻名。

相关新闻：人工智能代理访问一切，陷入零点击漏洞

该组织于 2020 年浮出水面，一些人认为实际上是一个威胁行为者的集体，并用于利用泄露或被盗的凭据来访问受害者环境，然后再从受害者那里窃取数据。然而，ShinyHunters 最近开始模仿另一个威胁组织 Scattered Spider，通过使用策略通过网络钓鱼或网络钓鱼联系潜在受害者，并声称自己是公司关键部门（例如人力资源或技术支持）的成员。然后，攻击者使用这种诡计说服员工放弃信息，使他们能够访问其 Salesforce 信息，以窃取敏感数据或其他数据，以勒索或进一步攻击其他公司。

“这再次提醒我们，在网络安全漏洞中，很少是孤立发生的，它们会产生涟漪，”Deepwatch 首席信息安全官查德·克拉格尔 （Chad Cragle） 在谈到这次攻击时观察到。“攻击者不会止步于一家供应商;他们在整个生态系统中旋转，寻找下一个薄弱环节。

严格保护公司数据

Workday 在其博客文章中提醒其客户和合作伙伴，它“绝不会通过电话联系任何人以请求密码或任何其他安全详细信息”，而是仅使用“可信支持渠道”进行用户通信，以帮助他们避免类似的妥协。

相关新闻：特权提升漏洞主导了 Microsoft 的补丁星期二

事实上，社会工程是一种特别具有纵性的方式，通过心理和社交互动来掠夺受害者，甚至可以欺骗精明的技术用户，应用程序安全解决方案提供商 Black Duck 的高级安全工程师 Boris Cipot 在一份电子邮件声明中指出。

他说，为了防止此类攻击，组织应该建立并执行严格的处理敏感信息的程序，禁止员工通过电话提供敏感信息，甚至禁止高级管理人员。“员工应该了解这些程序，并了解他们不会因为拒绝提供信息或协助冒充上级的人而受到惩罚，”Cipot 说。

他补充说，即使 Workday 没有在泄露事件中放弃客户或其他敏感数据，任何涉及数据的人都应该小心可能发生的后续诈骗和攻击。

Deepwatch 的 Cragle 表示，ShinyHunters 对 Salesforce 实例的一系列攻击也表明，组织“不能只相信供应商的边界”，需要在自己的环境中实践“持续监控、强大的身份控制和快速检测”。否则，他说，“你就是把你的生意押在别人的辩护上。

原文：Workday Breach Linked to ShinyHunters Salesforce Attacks

#信息防泄漏#