Salesforce

Selon TechCrunch, un groupe de cybercriminels connu sous les noms Lapsus$, Scattered Spider et ShinyHunters a lancé un site de fuite sur le dark web pour faire pression sur ses victimes, affirmant détenir environ un milliard d’enregistrements volés à des entreprises stockant leurs données clients dans des bases de données cloud hébergées par Salesforce. 🔓 Le site, baptisé « Scattered LAPSUS$ Hunters », vise l’extorsion en menaçant de publier les données dérobées si les victimes ne paient pas. Le message d’accueil appelle les organisations à « nous contacter pour reprendre le contrôle de la gouvernance des données et empêcher leur divulgation publique ». ...

Selon BleepingComputer, un groupe d’extorsion se présentant comme « Scattered Lapsus$ Hunters » (affiliations revendiquées: ShinyHunters, Scattered Spider, Lapsus$) a lancé un nouveau site de fuite de données pour extorquer des organisations touchées par une vague de violations liées à Salesforce. ⚠️ Le site recense 39 entreprises. Pour chaque victime, des échantillons de données exfiltrées depuis des instances Salesforce sont publiés, avec un ultimatum au 10 octobre invitant les victimes à « prévenir la divulgation publique » en les contactant. ...

Selon BleepingComputer, un groupe d’extorsion a mis en ligne un nouveau site de fuites destiné à exercer une pression publique sur des dizaines d’entreprises affectées par une vague de brèches liées à Salesforce. Un groupe d’extorsion connu sous le nom de Scattered Lapsus$ Hunters, qui regroupe des membres des groupes ShinyHunters, Scattered Spider et Lapsus$, a lancé un nouveau site de fuite de données pour extorquer publiquement des dizaines d’entreprises victimes d’attaques sur leurs instances Salesforce. Le site contient des échantillons de données volées à 39 entreprises célèbres telles que FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, McDonald’s, Adidas ou encore IKEA. ...

Selon le blog Google Cloud Threat Intelligence (Mandiant) dans un article publié le 30 septembre, un acteur financier baptisé UNC6040 mène des campagnes de vishing pour compromettre des instances Salesforce via des apps OAuth malveillantes, visant le vol massif de données et l’extorsion. Chaîne d’attaque décrite: (1) Usurpation du support IT pour pousser les employés à autoriser des apps connectées falsifiées, notamment des variantes du Salesforce Data Loader; (2) Exfiltration immédiate via Bulk API, pagination REST, ou export de rapports; (3) Mouvement latéral vers Okta/Microsoft 365. L’infrastructure observée inclut l’usage de Mullvad VPN. ...

Source: D3Lab. Dans les derniers jours, l’équipe Cyber Threat Intelligence de D3Lab a détecté une campagne de phishing visant Facebook Business. L’élément mis en avant est l’utilisation de l’infrastructure de Salesforce — un des principaux CRM au monde — comme vecteur, ce qui rend la campagne particulièrement insidieuse. 🎣☁️ Une récente campagne de phishing ciblant Facebook Business a été détectée, exploitant de façon ingénieuse l’infrastructure légitime de Salesforce. Les emails frauduleux proviennent d’adresses totalement authentiques comme noreply@salesforce.com et parviennent à passer tous les contrôles de sécurité standards (SPF), ce qui les rend particulièrement difficiles à identifier et bloquer. Les cybercriminels obtiennent un accès à Salesforce via l’offre de démonstration gratuite, puis l’utilisent pour envoyer des notifications qui semblent officielles et fiables. ...

Selon The Record (Recorded Future News), le FBI a publié un avis flash décrivant une campagne de vol de données et d’extorsion visant des centaines d’organisations, attribuée à Scattered Spider (UNC6395) et ShinyHunters (UNC6040), après compromission d’instances Salesforce. Depuis octobre 2024, les acteurs ont utilisé de l’ingénierie sociale en se faisant passer pour des employés IT auprès des centres d’appels afin d’obtenir des identifiants, puis accéder aux données clients dans Salesforce. Dans d’autres cas, des phishings (emails/SMS) ont permis de prendre le contrôle de téléphones ou ordinateurs d’employés. ...

Source: DataBreaches.net (15 septembre 2025, auteur: Dissent). Contexte: après la révélation d’une exfiltration touchant des marques de Kering, le média publie de nouveaux éléments contredisant une partie de la communication officielle du groupe. Les faits: ShinyHunters affirme avoir acquis des données clients via deux attaques liées à Salesforce: plus de 43 M d’enregistrements (Gucci) et près de 13 M pour Balenciaga, Brioni, Alexander McQueen combinés. Les échantillons fournis à DataBreaches paraissent légitimes et ne contiennent pas d’informations financières (cartes, comptes) selon leur examen. ...

Source: FBI (FLASH-20250912-001), coordonné avec DHS/CISA; TLP:CLEAR. Contexte: alerte du 12 septembre 2025 détaillant des campagnes de vol de données et d’extorsion ciblant les plateformes Salesforce par les groupes UNC6040 et UNC6395. – Aperçu général Les groupes criminels UNC6040 et UNC6395 mènent des intrusions contre des instances Salesforce par des mécanismes d’accès initiaux distincts. Les actions observées incluent le vol massif de données via API, l’autorisation frauduleuse d’applications connectées (OAuth) et des demandes d’extorsion (notamment associées à « ShinyHunters » après les exfiltrations de UNC6040). L’alerte vise à maximiser la sensibilisation et fournit des IOCs et des mesures recommandées. 🚨 ...

Selon BleepingComputer, Google a confirmé qu’un compte frauduleux avait été créé dans sa plateforme Law Enforcement Request System (LERS), utilisée par les forces de l’ordre pour soumettre des demandes légales. Le compte a été désactivé et, selon Google, aucune requête n’a été transmise et aucune donnée n’a été consultée via ce compte. Le FBI a décliné tout commentaire alors qu’un groupe se présentant comme « Scattered Lapsus$ Hunters » affirme avoir accédé à la fois à LERS et au système eCheck du FBI, en publiant des captures d’écran de cet accès. ...

Selon Varonis (référence citée), Salesforce introduit une nouvelle fonctionnalité d’API Access Control visant à contrer les attaques de phishing OAuth en imposant une pré-approbation administrative des applications connectées. Cette évolution marque un passage d’une posture réactive à une gouvernance proactive de la sécurité SaaS. Au niveau opérationnel, la fonction bloque par défaut les applications non gérées 🚫, applique des restrictions d’accès au niveau utilisateur (principe du moindre privilège) et instaure des processus manuels de validation de confiance. L’objectif est de réduire la surface d’attaque en contrôlant quelles applications peuvent se connecter à l’environnement Salesforce et en limitant finement les permissions. ...