Rò rỉ dữ liệu Allianz Life bị đánh cắp trong các cuộc tấn công Salesforce

Rò rỉ dữ liệu của Allianz Life

Tháng trước, Allianz Life tiết lộ rằng công ty đã bị vi phạm dữ liệu khi thông tin cá nhân trong số 1,4 triệu khách hàng bị đánh cắp từ hệ thống CRM dựa trên nền tảng đám mây của bên thứ ba vào ngày 16/7. Mặc dù không nêu tên nhà cung cấp, nhưng theo trang tin BleepingComputer cho rằng, sự cố này là một phần của làn sóng đánh cắp dữ liệu nhắm vào Salesforce do nhóm tin tặc ShinyHunters thực hiện.

Đầu tháng 8/2025, ShinyHunters và các tác nhân đe dọa khác tuyên bố có liên quan đến nhóm tin tặc Scattered Spider và Lapsus$, đã tạo một kênh Telegram có tên ScatteredLapsuSp1d3rHunters và đứng ra nhận trách nhiệm về một loạt vụ vi phạm nghiêm trọng, đồng thời thông qua kênh Telegram này để “chế nhạo” các nhà nghiên cứu an ninh mạng, cơ quan thực thi pháp luật và các nhà báo.

Nhiều cuộc tấn công trong số này trước đây chưa từng được xác định là do bất kỳ tác nhân đe dọa nào gây ra, bao gồm các cuộc tấn công vào Internet Archive, Pearson và Coinbase.

Một trong những cuộc tấn công mà ShinyHunters nhận trách nhiệm là Allianz Life, trong đó chúng đã làm rò rỉ toàn bộ cơ sở dữ liệu bị đánh cắp từ các phiên bản Salesforce của công ty này. Thông tin bao gồm các bảng cơ sở dữ liệu về tài khoản và danh bạ của Salesforce, lưu trữ khoảng 2,8 triệu bản ghi dữ liệu cho khách hàng cá nhân và đối tác kinh doanh, chẳng hạn như công ty quản lý tài sản, nhà môi giới và cố vấn tài chính.

Các cuộc tấn công đánh cắp dữ liệu của Salesforce

Các cuộc tấn công đánh cắp dữ liệu Salesforce được cho là đã bắt đầu từ đầu năm 2025, khi kẻ tấn công thực hiện các cuộc tấn công kỹ nghệ xã hội để đánh lừa nhân viên liên kết ứng dụng OAuth độc hại với các phiên bản Salesforce của công ty họ.

Sau khi liên kết thành công, kẻ tấn công sẽ sử dụng kết nối này để tải xuống và đánh cắp cơ sở dữ liệu, sau đó dùng chúng để tống tiền công ty qua email và được ký nhận là từ ShinyHunters. Nhóm tin tặc khét tiếng này đã có liên quan đến nhiều vụ tấn công nghiêm trọng trong nhiều năm qua, bao gồm cả các sự cố nhắm vào AT&T, PowerSchool và SnowFlake.

Mặc dù ShinyHunters được biết đến là nhắm mục tiêu vào các ứng dụng SaaS trên nền tảng đám mây và cơ sở dữ liệu trang web, nhưng các chuyên gia bảo mật chưa từng ghi nhận với các loại tấn công kỹ nghệ xã hội này, điều này khiến họ và các phương tiện truyền thông cho rằng một số cuộc tấn công Salesforce là do tin tặc Scattered Spider gây ra. Tuy nhiên, ShinyHunters đã xác nhận với trang tin BleepingComputer rằng nhóm ShinyHunters và Scattered Spider hiện là một.

Các nhà nghiên cứu cũng nhận định rằng nhiều thành viên của ShinyHunters có chung nguồn gốc với một nhóm tin tặc khác có tên là Lapsus$, nhóm này chịu trách nhiệm cho nhiều vụ tấn công vào năm 2022 - 2023. Lapsus$ đứng sau các vụ tấn công vào Rockstar Games, Uber, 2K, Okta, T-Mobile, Microsoft, Ubisoft và NVIDIA.