Dữ liệu khách hàng Pandora, Chanel và Cisco bị lộ trong chuỗi tấn công Salesforce

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
110
1.012 bài viết
Dữ liệu khách hàng Pandora, Chanel và Cisco bị lộ trong chuỗi tấn công Salesforce
Thời gian gần đây, nhiều thương hiệu lớn như Pandora, Chanel và Cisco đồng loạt xác nhận dữ liệu người dùng đã bị truy cập trái phép. Đây được xem là một phần trong chiến dịch tấn công nhắm vào hệ thống Salesforce thông qua kỹ thuật lừa đảo (phishing và vishing). Mặc dù chưa ghi nhận dữ liệu tài chính hoặc mật khẩu bị lộ, nhưng vụ việc này vẫn thực sự gây lo ngại vì đe dọa trực tiếp đến dữ liệu CRM nhạy cảm của nhiều tổ chức lớn.

1754473267930.png

1. Pandora - Lộ tên, email, ngày sinh​

  • Pandora xác nhận một bên thứ ba mà họ sử dụng đã bị tấn công, khiến một số dữ liệu khách hàng, như: Tên, email và ngày sinh bị truy cập trái phép. Không có mật khẩu, thông tin tài chính hoặc ID nhạy cảm bị ảnh hưởng.
  • Pandora kêu gọi khách hàng cẩn trọng với các email lạ có thể là giả mạo mạo danh thương hiệu để lừa đảo đăng nhập hoặc lấy thêm thông tin.

2. Chanel - Lần lượt bị tấn công vào cơ sở dữ liệu tại Salesforce​

  • Chanel thông báo đã phát hiện truy cập trái phép vào dữ liệu khách hàng tại Mỹ qua một dịch vụ bên ngoài (không thuộc hệ thống nội bộ). Dữ liệu gồm: Tên, email, địa chỉ và số điện thoại khách hàng từng liên hệ với trung tâm hỗ trợ khách hàng.
  • Không có dữ liệu nhạy cảm, như: Mật khẩu hoặc thẻ thanh toán bị lộ. Chanel khẳng định kẻ xâm nhập lấy dữ liệu từ tài khoản Salesforce bị xâm phạm.

3. Cisco - Lộ dữ liệu hồ sơ cơ bản do tấn công vishing​

  • Cisco xác nhận vào ngày 24/7/2025, đại diện của họ bị tấn công qua giải pháp vishing (giả vờ gọi điện). Hacker mạo danh người có thẩm quyền và thuyết phục truy cập hệ thống CRM bên thứ ba.
  • Kết quả là dữ liệu hồ sơ người dùng trên "Cisco[.]com" bị lấy gồm: Tên, tổ chức, địa chỉ, email, số điện thoại và thông tin metadata tài khoản. Không có mật khẩu hoặc dữ liệu nhạy cảm bị lộ. Cisco đã chấm dứt truy cập, thông báo người dùng bị ảnh hưởng và báo cáo cơ quan quản lý theo quy định.
  • Mảng tấn công chủ yếu nhắm vào Salesforce CRM khách hàng, không phải do lỗi hệ thống Salesforce. Kẻ tấn công sử dụng kỹ thuật phishing (gửi link giả) và OAuth authorisation để đánh lừa người dùng hoặc hội thẩm định tài khoản, rồi tải dữ liệu ra ngoài.
Nhóm tin tặc bị nghi ngờ là chủ mưu đứng sau nhiều vụ việc này là ShinyHunters, đã thực hiện các chiến dịch tương tự với nhiều nhãn hàng lớn trước đó như Adidas, Allianz Life, Qantas, Tiffany & Co., Louis Vuitton, Dior… Các cuộc tấn công social engineering như vishing (gọi thoại) và phishing đang trở nên tinh vi hơn với sự trợ giúp của công nghệ AI, khiến việc phát hiện hiểm họa ngày càng khó khăn hơn.

Khuyến cáo chung dành cho doanh nghiệp và cá nhân:​

  • Kiểm tra và rà soát các ứng dụng OAuth đã kết nối với Salesforce, chỉ giữ những ứng dụng thực sự cần thiết.
  • Kích hoạt xác thực đa yếu tố MFA cho tất cả tài khoản quản trị Salesforce và CRM.
  • Huấn luyện nâng cao nhận thức nhân sự về phishing, vishing và social engineering, đặc biệt là nhân viên hỗ trợ khách hàng hoặc đội IT.
  • Giám sát truy cập và kiểm tra log để phát hiện bất thường, như truy cập từ IP lạ, ứng dụng OAuth không rõ nguồn gốc.
  • Phản hồi nhanh và minh bạch nếu có nghi ngờ bị tấn công, thông báo người dùng bị ảnh hưởng và tuân thủ quy định bảo mật dữ liệu.
Vụ việc này là hồi chuông cảnh báo về rủi ro từ chuỗi cung ứng và cách quản lý dữ liệu, bảo mật của bên thứ ba. Các doanh nghiệp cần nghiêm túc đánh giá lại việc quản lý, bảo mật quyền truy cập, bảo mật API giữa các nền tảng, đặc biệt khi sử dụng dịch vụ cloud như Salesforce.
WhiteHat tổng hợp
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
chanel cisco pandora salesforce
Bên trên