Salesforce

🔍 Contexte Publié le 21 juin 2026 sur le blog officiel de Recorded Future, cet article constitue une communication de transparence adressée aux clients et partenaires de la plateforme CTI, suite à un incident de sécurité impliquant un prestataire tiers. 📅 Chronologie de l’incident 12 juin 2026 : début de l’activité non autorisée dans l’environnement de Klue, fournisseur marketing tiers, contenue le même matin 17 juin 2026 : confirmation par Recorded Future que des éléments de son compte Salesforce ont été compromis via un token OAuth compromis lié à l’intégration Salesforce-Klue Semaine du 21 juin 2026 : notification au CSIRT de Recorded Future et publication de la communication 🎯 Nature de l’attaque L’attaque a ciblé la couche d’intégration entre Klue et d’autres plateformes SaaS marketing et commerciales. Le vecteur d’accès identifié est un token OAuth compromis associé à l’intégration entre Salesforce et Klue. Recorded Future n’était pas une cible spécifique mais une victime incidente. ...

🏢 Contexte Source : HaveIBeenPwned (haveibeenpwned.com/Breach/Berkadia), publié le 15 juin 2026. Berkadia est une société américaine spécialisée dans le financement de l’immobilier commercial. 🎯 Incident En mars 2026, le groupe cybercriminel ShinyHunters a ciblé Berkadia dans le cadre d’une campagne d’extorsion de type “pay or leak” (payer ou voir les données publiées). Face au refus ou à l’absence de paiement, le groupe a procédé à la publication des données volées. ...

🗓️ Contexte Source : Have I Been Pwned (haveibeenpwned.com), publié le 7 juin 2026. L’incident concerne Baker Distributing Company, distributeur en gros de matériel HVAC/R (chauffage, ventilation, climatisation, réfrigération) basé aux États-Unis. 🎯 Nature de l’incident En mai 2026, Baker Distributing a été ajouté au site d’extorsion « pay or leak » du groupe ShinyHunters. Début juin 2026, le groupe a publiquement diffusé les données qu’il affirme avoir extraites de l’infrastructure SharePoint et Salesforce de l’entreprise. ...

📰 Contexte Source : BleepingComputer, publié le 26 mai 2026. Charter Communications, l’un des plus grands fournisseurs d’accès Internet aux États-Unis (marque Spectrum), a confirmé avoir subi une violation de données après avoir été listé sur le site de fuite du groupe ShinyHunters. 🎯 Vecteur d’attaque Selon les déclarations du groupe à BleepingComputer, la compromission initiale a eu lieu le 1er avril via une attaque de voice phishing (vishing) ciblant un employé. Cette attaque a permis de compromettre un compte Microsoft Entra (SSO d’entreprise). ...

🗓️ Contexte Source : BleepingComputer, publié le 19 mai 2026. 7-Eleven, chaîne de distribution mondiale opérant plus de 86 000 magasins, confirme officiellement une violation de données survenue le 8 avril 2026, revendiquée par le groupe d’extorsion ShinyHunters. 🔓 Déroulement de l’incident Date de compromission : 8 avril 2026 Vecteur d’attaque : accès non autorisé à l’environnement Salesforce de 7-Eleven Données ciblées : documents franchisés et informations personnelles identifiables (PII) Volume revendiqué : plus de 600 000 enregistrements Revendication publique : 17 avril 2026 sur le site de fuite dark web de ShinyHunters Fuite des données : publication d’une archive de 9,4 Go moins d’une semaine après la revendication, suite au refus de 7-Eleven de payer la rançon 📢 Réponse de 7-Eleven Des notifications de violation de données ont été envoyées aux individus concernés le 1er mai 2026 et déposées dans plusieurs États américains. Le nombre exact de personnes affectées n’a pas été divulgué. La société a indiqué avoir immédiatement lancé une investigation. ...

🏫 Contexte Source : DataBreaches.net, publié le 3 mai 2026. Instructure, éditeur de la plateforme éducative Canvas (LMS), Mastery et Parchment, révèle avoir subi une deuxième violation de données en moins d’un an, les deux incidents étant attribués au groupe cybercriminel ShinyHunters. 📅 Chronologie des incidents Premier incident (septembre 2025) : Attaque par ingénierie sociale ciblant l’instance Salesforce d’Instructure Données exposées : informations commerciales publiques (noms d’entreprises, coordonnées) Aucun produit ni donnée produit d’Instructure compromis selon la société Second incident (avril-mai 2026) : ...

📰 Contexte Source : Have I Been Pwned (haveibeenpwned.com), publié le 16 avril 2026. L’entreprise d’édition éducative McGraw Hill a confirmé avoir subi une violation de données à la suite d’une tentative d’extorsion. 🔍 Cause et vecteur L’incident est attribué à une mauvaise configuration Salesforce (misconfiguration). Selon la déclaration de l’entreprise, l’incident a exposé « un ensemble limité de données provenant d’une page web hébergée par Salesforce sur sa plateforme ». ...

🗓️ Contexte Source : Have I Been Pwned (haveibeenpwned.com), publié le 12 avril 2026. L’incident concerne la société Hallmark et son service de streaming Hallmark+. 🔓 Nature de l’incident En mars 2026, des attaquants ont obtenu un accès non autorisé à des données stockées dans Salesforce, la plateforme CRM utilisée par Hallmark. Suite à cet accès, les attaquants ont procédé à une tentative d’extorsion. À l’expiration du délai fixé par les attaquants, les données ont été publiées publiquement. ...

Selon Salesforce, des attaquants ciblent des sites basés sur Experience Cloud mal configurés, exposant des données à des utilisateurs invités au-delà de ce qui était prévu, tandis que le gang d’extorsion ShinyHunters affirme exploiter activement un nouveau bug pour voler des données depuis des instances. ⚠️ Salesforce Experience Cloud : campagne de vol de données liée à des sites mal configurés Résumé Salesforce a publié une alerte sur une campagne visant des sites Experience Cloud exposés publiquement et mal configurés, où le profil guest user donne accès à plus de données que prévu. L’activité vise notamment l’endpoint /s/sfsites/aura et s’appuie sur une version modifiée de l’outil AuraInspector, initialement développé par Mandiant pour auditer les permissions. Salesforce affirme qu’il ne s’agit pas d’une vulnérabilité native de la plateforme, mais d’un problème de configuration client. ...

Selon BleepingComputer (Sergiu Gatlan, 5 janvier 2026), NordVPN a démenti une allégation de compromission de serveurs de développement, expliquant que les données diffusées proviennent d’un essai d’un fournisseur tiers d’automatisation de tests et ne contiennent que des données factices. Un acteur de menace (handle « 1011 ») a revendiqué sur un forum le vol de « +10 bases de données » depuis un serveur de développement de NordVPN après une attaque par force brute contre un serveur mal configuré, évoquant des clés API Salesforce et des jetons Jira. ...