Código HTML do Conteúdo
Post: ShinyHunters lança site de vazamento de dados do Salesforce para extorquir 39 vítimas - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>Um grupo de extorsão lançou um novo site de vazamento de dados para extorquir publicamente dezenas de empresas afetadas por um <a href="https://www.bleepingcomputer.com/tag/salesforce/" rel="nofollow noopener" target="_blank">onda de violações do Salesforce</a>, vazando amostras de dados roubados nos ataques.</p>
<p>Os agentes de ameaças responsáveis por esses ataques afirmam fazer parte dos grupos ShinyHunters, Scatter Spider e Lapsus$, referindo-se coletivamente a si mesmos como “Scattered Lapsus$ Hunters”.</p>
<p>Hoje, eles lançaram um novo site de vazamento de dados contendo 39 empresas afetadas pelos ataques. Cada entrada inclui amostras de dados supostamente roubados das instâncias do Salesforce das vítimas e avisa as vítimas para entrar em contato para “impedir a divulgação pública” de seus dados antes que o prazo de 10 de outubro seja atingido.</p>
<p>As empresas que estão sendo extorquidas no site de vazamento de dados incluem marcas e organizações conhecidas, incluindo FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France & KLM, Transunion, HBO MAX, UPS, Chanel e IKEA.</p>
<p>“Todos eles foram contatados há muito tempo, eles viram o e-mail porque eu os vi baixar as amostras várias vezes. A maioria deles optou por não divulgar e ignorar”, disse ShinyHunters ao BleepingComputer.</p>
<p>“É altamente recomendável que você tome a decisão certa, sua organização pode impedir a divulgação desses dados, recuperar o controle sobre a situação e todas as operações permanecem estáveis como sempre. É altamente recomendável que um tomador de decisão se envolva, pois estamos apresentando uma oportunidade clara e mutuamente benéfica para resolver esse assunto”, alertaram no site do vazamento.</p>
<p>Os agentes de ameaças também adicionaram uma entrada separada solicitando que a Salesforce pague um resgate para evitar que todos os dados dos clientes afetados (aproximadamente 1 bilhão de registros contendo informações pessoais) vazem.</p>
<p>“Se você cumprir, nos retiraremos de qualquer negociação ativa ou pendente individualmente de seus clientes. Seus clientes não serão atacados novamente nem enfrentarão um resgate nosso novamente, caso você pague”, acrescentaram.</p>
<p>O grupo de extorsão também ameaçou a empresa, afirmando que ajudaria os escritórios de advocacia a entrar com ações civis e comerciais contra a Salesforce após as violações de dados e alertou que a empresa também falhou em proteger os dados dos clientes, conforme exigido pelo Regulamento Geral de Proteção de Dados Europeu (GDPR).</p>
<div>
<p><img decoding="async" alt="_leaks do Salesforce ShinyHunters" height="296" src="https://datalake.azaeo.com/wp-content/uploads/2025/10/ShinyHunters_Salesforce_leaks.png" width="700 /></div>
<p>Scattered Lapsus$ Hunters have been<a href=">visando clientes do Salesforce com ataques de phishing de voz<a href="https://www.bleepingcomputer.com/news/security/google-hackers-target-salesforce-accounts-in-data-extortion-attacks/" rel="nofollow noopener" target="_blank"> desde o início do ano</a>, levando a violações que impactaram empresas como <a href="http://ogle-suffers-data-breach-in-ongoing-salesforce-data-theft-attacks/" rel="nofollow noopener" target="_blank">Pesquise no Google</a>, <a href="https://www.bleepingcomputer.com/news/security/cisco-discloses-data-breach-impacting-ciscocom-user-accounts/" rel="nofollow noopener" target="_blank">Cisco</a>, <a href="https://www.bleepingcomputer.com/news/security/qantas-confirms-data-breach-impacts-57-million-customers/" rel="nofollow noopener" target="_blank">Qantas</a>, <a href="https://www.bleepingcomputer.com/news/security/adidas-warns-of-data-breach-after-customer-service-provider-hack/" rel="nofollow noopener" target="_blank">Adidas</a>, <a href="https://www.bleepingcomputer.com/news/security/allianz-life-confirms-data-breach-impacts-majority-of-14-million-customers/" rel="nofollow noopener" target="_blank">Allianz Life</a>, <a href="https://www.bleepingcomputer.com/news/security/farmers-insurance-data-breach-impacts-11m-people-after-salesforce-attack/" rel="nofollow noopener" target="_blank">Seguro de Agricultores</a>, <a href="https://www.bleepingcomputer.com/news/security/hr-giant-workday-discloses-data-breach-amid-salesforce-attacks/" rel="nofollow noopener" target="_blank">Dia de trabalho</a>, bem como subsidiárias da LVMH, incluindo <a href="https://www.bleepingcomputer.com/news/security/fashion-giant-dior-discloses-cyberattack-warns-of-data-breach/" rel="nofollow noopener" target="_blank">Dior</a>, <a href="https://www.bleepingcomputer.com/news/security/louis-vuitton-says-regional-data-breaches-tied-to-same-cyberattack/" rel="nofollow noopener" target="_blank">Louis Vuitton</a>e <a href="https://www.chosun.com/english/industry-en/2025/05/26/ORM5MULB7NEM7EBUFVXHVLSB4A/" rel="nofollow noopener" target="_blank">Tiffany & Co</a>.</p>
<p>Nesses ataques, os agentes de ameaças enganaram os funcionários para vincular um aplicativo OAuth malicioso à instância do Salesforce de sua empresa. A ShinyHunters disse ao BleepingComputer que, embora uma instância específica do Salesforce possa ter sido direcionada, ela também continha dados de muitas das subsidiárias, tornando os ataques mais impactantes.</p>
<p>Uma vez conectados, os invasores roubaram bancos de dados da empresa e usaram os dados para extorquir as vítimas por e-mail. Esses e-mails de extorsão foram assinados por ShinyHunters, um notório grupo de extorsão ligado a uma longa série de violações de alto perfil nos últimos anos, incluindo o <a href="https://www.bleepingcomputer.com/tag/snowflake/" rel="nofollow noopener" target="_blank">Ataques de floco de neve</a> e aqueles contra <a href="https://www.bleepingcomputer.com/news/security/atandt-confirms-data-for-73-million-customers-leaked-on-hacker-forum/" rel="nofollow noopener" target="_blank">AT&T e</a> <a href="https://www.bleepingcomputer.com/news/security/powerschool-hacker-now-extorting-individual-school-districts/" rel="nofollow noopener" target="_blank">Escola de Energia</a>.</p>
<p>Caçadores brilhantes<span></span>também alegou ter usado <a href="https://www.bleepingcomputer.com/news/security/google-warns-salesloft-breach-impacted-some-workspace-accounts/" rel="nofollow noopener" target="_blank">tokens OAuth roubados</a> para a integração de bate-papo Drift AI da Salesloft com o Salesforce para roubar informações confidenciais, incluindo senhas, chaves de acesso da AWS e tokens Snowflake, das instâncias do Salesforce dos clientes.</p>
<p>Esses ataques foram rastreados pela Mandiant em um cluster de ameaças separado chamado “UNC6395”, pois eles não conseguiram vincular formalmente as violações a esse grupo.</p>
<p>Em um canal do Telegram associado ao grupo de extorsão, os agentes de ameaças afirmam que começarão a extorquir empresas afetadas pelos ataques do Salesloft Drift em um site separado de vazamento de dados lançado em 10 de outubro.</p>
<p><span>A ShinyHunters disse anteriormente ao BleepingComputer que os ataques de roubo de dados da Salesloft afetaram aproximadamente 760 empresas e resultaram em<a href="https://www.bleepingcomputer.com/news/security/shinyhunters-claims-15-billion-salesforce-records-stolen-in-drift-hacks/" rel="nofollow noopener" target="_blank">o roubo de 1,5 bilhão de registros do Salesforce</a>.</span></p>
<p>Os ataques do Salesloft são conhecidos por terem impactado<a href="https://www.bleepingcomputer.com/news/security/google-warns-salesloft-breach-impacted-some-workspace-accounts/" rel="nofollow noopener" target="_blank">Pesquise no Google</a>, <a href="https://www.bleepingcomputer.com/news/security/palo-alto-networks-data-breach-exposes-customer-info-support-cases/" rel="nofollow noopener" target="_blank">Redes de Palo Alto</a>, <a href="https://www.cyberark.com/resources/blog/salesloft-drift-incident-overview-and-cyberarks-response" rel="nofollow noopener" target="_blank">CyberArk</a>, <a href="https://www.bleepingcomputer.com/news/security/cloudflare-hit-by-data-breach-in-salesloft-drift-supply-chain-attack/" rel="nofollow noopener" target="_blank">Cloudflare</a>, <a href="https://www.rubrik.com/blog/company/25/salesforce-connected-third-party-drift-application-supply-chain-incident-response" rel="nofollow noopener" target="_blank">Rubrik</a>, <a href="https://www.elastic.co/blog/elastic-update-salesloft-drift-security-incident" rel="nofollow noopener" target="_blank">Elástico</a>, <a href="https://www.beyondtrust.com/trust-center/security-advisories/salesforce-salesloft-drift-security-incident" rel="nofollow noopener" target="_blank">Além da confiança</a>, <a href="https://www.proofpoint.com/us/blog/corporate-news/salesloft-drift-supply-chain-incident-response" rel="nofollow noopener" target="_blank">Ponto de prova</a>, <a href="https://jfrog.com/help/r/salesforce-data-incident-identified-linked-to-third-party-salesloft-drift/salesforce-data-incident-identified-linked-to-third-party-salesloft-drift" rel="nofollow noopener" target="_blank">JFrog</a>, <a href="https://www.bleepingcomputer.com/news/security/zscaler-data-breach-exposes-customer-info-after-salesloft-drift-compromise/" rel="nofollow noopener" target="_blank">Zscaler</a>, <a href="https://www.tenable.com/blog/tenable-response-to-salesforce-and-salesloft-drift-incident" rel="nofollow noopener" target="_blank">Sustentável</a>, <a href="https://www.nutanix.com/blog/third-party-salesloft-drift-application-incident-response-our-impact-and-action" rel="nofollow noopener" target="_blank">Nutanix</a>, <a href="https://blog.qualys.com/misc/2025/09/06/salesloft-drift-supply-chain-incident" rel="nofollow noopener" target="_blank">Qualys</a>e<a href="https://www.catonetworks.com/blog/cato-networks-statement-on-salesforce-salesloft-drift-incident/" rel="nofollow noopener" target="_blank">Redes Cato</a>,<a href="https://www.driftbreach.com/" rel="nofollow noopener" target="_blank">entre muitos outros</a>. Os ShinyHunters afirmam que as empresas não serão extorquidas novamente sob a campanha Salesloft se um resgate for pago nesta fase inicial de extorsão.</p>
<p>“Estamos cientes das recentes tentativas de extorsão por agentes de ameaças, que investigamos em parceria com especialistas e autoridades externas. Nossas descobertas indicam que essas tentativas estão relacionadas a incidentes passados ou infundados, e continuamos engajados com os clientes afetados para fornecer suporte”, Salesforce <a href="https://status.salesforce.com/generalmessages/20000224?locale=en-US" rel="nofollow noopener" target="_blank">disse em um comunicado</a> publicado depois que ShinyHunters lançou seusite de vazamento de dados.</p>
<p>“Neste momento, não há indicação de que a plataforma Salesforce tenha sido comprometida, nem essa atividade está relacionada a qualquer vulnerabilidade conhecida em nossa tecnologia.”</p>
<p><em>Atualização03 de outubro, 11:02 EDT: Adicionada declaração do Salesforce.</em></p>
<div>
<p><a href="https://hubs.li/Q03LvVKm0" rel="noopener sponsored" target="_blank"><br />
<img decoding="async" alt="Picus BAS Summit" src="https://datalake.azaeo.com/wp-content/uploads/2025/10/bas-summit.jpg"><br />
</a>
</p>
<div>
<h2><a href="https://hubs.li/Q03LvVKm0" rel="noopener sponsored" target="_blank">O Evento de Validação de Segurança do Ano: O Picus BAS Summit </a></h2>
<p>Junte-se ao <strong>Cúpula de Simulação de Violação e Ataque</strong> e experimente o <strong>Futuro da validação de segurança</strong>. Ouça os principais especialistas e veja como <strong>BAS alimentado por IA</strong> está transformando a simulação de violação e ataque.</p>
<p>Não perca o evento que moldará o futuro da sua estratégia de segurança</p>
</div>
</div>
</div>
</div></div>