Géant du CRM, Salesforce a annoncé à ses clients qu'il ne céderait pas au chantage d'un groupe de cybercriminels. Selon des propos rapportés par Bloomberg, un porte-parole a confirmé que Salesforce " n'engagera, ne négociera ni ne paiera aucune demande d'extorsion ".
Cette mise au point intervient alors qu'un groupe se faisant appeler Scattered Lapsus$ Hunters a créé un site web citant des clients de Salesforce, dont les données ont été volées lors d'une campagne d'attaque.
Comment cette cyberattaque a-t-elle eu lieu ?
L'origine de la fuite ne se situe pas dans une faille de la plateforme centrale de Salesforce, mais dans une application tierce. L'incident concerne l'application Drift de la société SalesLoft qui s'intègre à Salesforce pour automatiser les interactions avec les clients.
Google Threat Intelligence Group avait déjà alerté sur une campagne de vol de données ciblant les instances Salesforce par le biais de cette même application.
Les attaquants ont utilisé des techniques de phishing vocal pour convaincre des employés de connecter une application malveillante à leur portail Salesforce, leur donnant ainsi accès à des informations sensibles comme des tokens d'authentification et des mots de passe.
Quelles sont les revendications des hackers ?
Le groupe de hackers, un amalgame présumé de collectifs (ShinyHunters, Scattered Spider et LAPSUS$), revendique le vol de près d'un milliard d'enregistrements, d'après BleepingComputer. Pour prouver leurs dires, ils ont publié une liste d'un peu moins d'une quarantaine d'entreprises victimes sur leur site.
La demande est que Salesforce paie une rançon globale pour protéger les données de tous ses clients. " Personne d'autre n'aura à nous payer, si vous payez, Salesforce." Un ultimatum sur le point d'expirer.
En refusant de payer, Salesforce prend le risque de voir les données de ses clients divulguées. Néanmoins, il s'agit aussi de dissuader de futures attaques en montrant que la stratégie de l'extorsion n'est pas toujours payante.
