Selon BleepingComputer, des hackers ont diffusé les données volées de l’assureur américain Allianz Life, confirmant une vague d’attaques visant Salesforce et impliquant ShinyHunters, avec des revendications d’alignement avec Scattered Spider et Lapsus$.
• Impact et contexte 🧾 — Allianz Life avait dévoilé en juillet qu’une « majorité » de ses 1,4 M de clients avait été affectée par un vol de données depuis un CRM cloud tiers (le fournisseur n’a pas été nommé). Les acteurs ont depuis publié les bases complètes dérobées aux instances Salesforce de l’entreprise. Les attaquants ont aussi ouvert un canal Telegram « ScatteredLapsuSp1d3rHunters » pour revendiquer plusieurs intrusions, notamment chez Internet Archive, Pearson et Coinbase.
• Données exposées 🔓 — Les fichiers divulgués comprennent les tables « Accounts » et « Contacts » de Salesforce, totalisant environ 2,8 millions d’enregistrements concernant des clients et des partenaires (sociétés de gestion de patrimoine, courtiers, conseillers financiers). Les données incluent des PII (noms, adresses, numéros de téléphone, dates de naissance, Tax Identification Numbers) ainsi que des informations professionnelles (licences, affiliations, approbations de produits, classifications marketing). BleepingComputer a vérifié l’exactitude de plusieurs enregistrements (numéros de téléphone, emails, IDs fiscaux). Allianz Life n’a pas commenté, enquête en cours.
• Mode opératoire 🕵️ — La campagne, active depuis le début de l’année, repose sur de l’ingénierie sociale poussant des employés à lier une application OAuth malveillante aux instances Salesforce visées. Une fois l’accès obtenu, les attaquants exfiltrent les bases puis extorquent les entreprises par email, en se signant « ShinyHunters ».
• Acteurs impliqués 👥 — Bien que ShinyHunters soit réputé pour cibler des applications SaaS cloud et des bases web, l’usage d’ingénierie sociale a conduit certains à attribuer des attaques à Scattered Spider. ShinyHunters affirme toutefois à BleepingComputer que « ShinyHunters et Scattered Spider ne font qu’un », indiquant que les seconds fournissent l’accès initial tandis qu’ils réalisent « dump et exfiltration » des CRM Salesforce, « comme avec Snowflake ». Le groupe serait lié à des membres issus de Lapsus$, connu pour des intrusions en 2022–2023 (Rockstar Games, Uber, 2K, Okta, T-Mobile, Microsoft, Ubisoft, NVIDIA). Des arrestations ont eu lieu au fil des ans, rendant l’identité exacte des acteurs actuels incertaine.
• TTPs et IOCs
- TTPs: Ingénierie sociale pour valider une appli OAuth malveillante; Abus d’OAuth pour extraire les tables Salesforce (Accounts, Contacts); Extorsion par email; Publication/leak sur Telegram.
- IOCs: Canal Telegram cité: “ScatteredLapsuSp1d3rHunters”; demandes d’extorsion signées « ShinyHunters ».
Il s’agit d’un article de presse spécialisé visant à informer sur la fuite, les données compromises, et les liens revendiqués entre groupes d’attaque, ainsi que leurs TTPs.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/hackers-leak-allianz-life-data-stolen-in-salesforce-attacks/