ShinyHunters : plus d’un milliard d’enregistrements Salesforce bientôt divulgués ?

Ils se font désormais appeler les « Scattered Lapsus$ Hunters » et ont monté leur première vitrine où épingler leurs victimes et divulguer leurs données. Ou du moins des données qu’ils leur attribuent.

Ce collectif aux contours flous, ShinyHunter, revendique désormais le vol de plus d’un milliard d’enregistrements issus de tenants Salesforce. Près de 40 entreprises sont actuellement désignées. Selon les cybercriminels, les données auraient été dérobées à différentes dates, et jusqu’au mois de septembre 2024 pour Ikea, ou juin de cette même année pour Saks Fith. Voire un mois plus tôt pour Adidas et Petco. Sans surprise, Kering figure également là aux côtés d’autre noms eux aussi déjà connus.

Après avoir tenté de faire chanter ces clients de Salesforce, les cybercriminels s’en prennent désormais directement à l’éditeur de l’application SaaS éponyme. Celui-ci dit d’ailleurs avoir « connaissance des récentes tentatives d'extorsion menées par des acteurs malveillants, que nous avons examinées en collaboration avec des experts externes et les autorités compétentes. Nos conclusions indiquent que ces tentatives sont liées à des incidents passés ou non corroborés, et nous restons en contact avec les clients concernés afin de leur apporter notre soutien ».

Et de préciser que « à l'heure actuelle, rien n'indique que la plateforme Salesforce ait été compromise, ni que cette activité soit liée à une vulnérabilité connue de notre technologie ».

Le groupe Scattered Lapsus$ Hunters (ou SLSH) revendique également un vol de données chez Red Hat, qui serait survenu mi-septembre. C’est un environnement GitLab qui a été affecté, selon l’intéressé.

Durant le week-end, SLSH a partagé, dans une chaîne Telegram désormais fermée, les adresses e-mail d’individus présentés comme des cadres des entreprises qu’il essaie d’extorquer, invitant chacun à leur écrire, et promettant 10 $ par courriel envoyé.

Le groupe en enfin lancé un appel aux accès initiaux visant notamment les employés d’entreprises dans les secteurs de télécommunications, du logiciel et du jeu vidéo, des centres d’appels et de l’externalisation de processus métiers, et de l’hébergement : « vous serez payé si vous le souhaitez », promet-il.