时尚巨头 Chanel 遭 Salesforce 攻击，美国客户个人信息被窃

法国时尚巨头香奈儿成为Salesforce数据窃取攻击的最新受害者。据《女装日报》率先报道，香奈儿表示威胁行为者通过第三方服务提供商入侵其数据库，事件于7月25日首次被发现。此次泄露仅影响美国客户，涉及个人联系信息。

香奈儿发言人声明：“调查显示，未经授权的外部方仅获取了美国客户服务中心部分联系人的有限信息——具体包括姓名、电子邮箱、邮寄地址和电话号码。数据库未包含其他信息，受影响客户已获告知。”尽管香奈儿未回应媒体问询且未透露第三方服务商名称，网络安全媒体BleepingComputer确认数据是从该公司Salesforce实例窃取。

此次攻击被归因于黑客组织ShinyHunters发起的Salesforce数据窃取攻击浪潮。据Mandiant首次披露，攻击者通过语音钓鱼（vishing）攻击定向入侵Salesforce客户：诱骗员工授权恶意OAuth应用或窃取凭证访问其Salesforce门户。一旦侵入系统，便窃取数据库并以此勒索客户。

Salesforce向BleepingComputer强调其平台未被攻破，问题源于客户账户遭社工攻击：“Salesforce自身无安全漏洞，事件均由钓鱼攻击和社交工程导致。我们持续建议客户启用多因素认证（MFA）、实施最小权限原则并严格管理关联应用。”截至目前，攻击者尚未公开泄露任何企业数据，仅通过电子邮件实施勒索。

除香奈儿外，此轮攻击的受害者还包括阿迪达斯、澳洲航空、安联人寿，以及LVMH集团旗下路易威登、迪奥和蒂芙尼。BleepingComputer知悉其他未公开的潜在受害企业，但尚未能独立核实。

消息来源：bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；