-
09/04/2020
-
116
-
1.179 bài viết
Toàn cảnh vụ tấn công Salesforce: Khi chuỗi cung ứng trở thành điểm yếu chí mạng
Một chiến dịch rò rỉ dữ liệu quy mô lớn đã khiến thông tin của hàng chục triệu khách hàng từ hơn 40 tổ chức bị công khai. Thủ phạm là nhóm tin tặc Scattered LAPSUS$ Hunters, một liên minh hacker chuyên nhắm vào các nền tảng doanh nghiệp. Họ khai thác các token, quyền ủy quyền và ứng dụng bên thứ ba trong hệ thống Salesforce để chiếm dữ liệu, biến vụ việc thành minh chứng rõ ràng cho rủi ro từ chuỗi cung ứng dịch vụ và các tích hợp không được quản lý chặt chẽ.
Bên cạnh đó, các kết nối linh hoạt và ứng dụng được ủy quyền sẵn sàng trao quyền truy cập sâu cho hệ thống, trong khi nhiều doanh nghiệp vẫn chưa triển khai giám sát hành vi API hay xác thực đa yếu tố đầy đủ. Điều này mở rộng đáng kể bề mặt tấn công của Salesforce và là lý do nhóm Scattered LAPSUS$ Hunters chọn khai thác các tích hợp thay vì nhắm trực tiếp vào hệ thống nội bộ của từng doanh nghiệp.
Khi đã có bản đồ mục tiêu, chúng chuyển sang chiếm quyền ban đầu bằng các biện pháp lừa đảo xã hội hoặc khai thác chuỗi cung ứng. Thực tiễn phổ biến là thuyết phục quản trị viên cấp quyền cho một ứng dụng giả mạo hoặc thu thập được refresh token hay client secret từ hệ thống bên thứ ba bị lộ. Một khi nắm trong tay token hợp lệ, chúng thường thiết lập điểm tồn tại bằng cách đăng ký thêm ứng dụng kết nối, tạo tài khoản dịch vụ hoặc lên lịch các công việc tự động để duy trì truy cập mà ít gây chú ý. Một thành viên trong nhóm, tự xưng là Shiny, chia sẻ rằng họ không tấn công trực tiếp Salesforce, mà nhắm vào khách hàng của Salesforce bằng phương pháp lừa đảo qua điện thoại, hay còn gọi là voice phishing. Trong hình thức tấn công này, tin tặc giả danh nhân viên để gọi tới bộ phận hỗ trợ IT, nhằm đánh lừa và chiếm quyền truy cập thông tin nhạy cảm.
Khi có quyền truy cập ổn định, chúng tiến hành trích xuất dữ liệu qua các cơ chế hợp pháp của Salesforce. Chúng dùng API xuất dữ liệu theo khối, công cụ Data Loader hoặc các truy vấn tinh chỉnh để lấy chính xác những trường chứa thông tin cá nhân, sau đó chia nhỏ các job xuất để né giới hạn tốc độ và chuyển kết quả về kho lưu trữ do chúng kiểm soát hoặc qua webhook. Bởi hầu hết thao tác đều diễn ra dưới danh nghĩa ứng dụng được ủy quyền và với token hợp lệ, hoạt động exfiltration thường không kích hoạt cảnh báo đăng nhập bất thường, khiến dữ liệu bị rút ra mà nạn nhân khó phát hiện kịp thời.
Khi đã thu thập đủ,nhóm Scattered LAPSUS$ Hunters sẽ xử lý và công khai một phần dữ liệu làm bằng chứng, kèm yêu cầu tống tiền nhằm khuếch đại áp lực truyền thông và pháp lý lên nạn nhân.
Ở Việt Nam, Vietnam Airlines được ghi nhận có khoảng 7,3 triệu thông tin khách hàng bị lộ, bao gồm tên, email, số điện thoại, ngày sinh và chi tiết hội viên chương trình khách hàng thân thiết. Đến nay Vietnam Airlines chưa công bố con số cụ thể về phạm vi ảnh hưởng hay các bước khắc phục đang triển khai. Salesforce khẳng định không có dấu hiệu nền tảng lõi bị xâm nhập và từ chối bình luận chi tiết về các khách hàng tại khu vực châu Á.
Mức độ ảnh hưởng không dừng lại ở vài hãng hàng không. Danh sách do nhóm công bố bao gồm nhiều tập đoàn toàn cầu nổi bật trong lĩnh vực bán lẻ, logistics, giải trí và tài chính, như Toyota, Disney, McDonald’s, Ikea, Adidas, Gap, FedEx, Marriott hay AirFrance-KLM. Khi dữ liệu từ nhiều ngành được khai thác đồng thời, hậu quả trở thành hệ thống: tổn thất niềm tin, chi phí ứng phó, nguy cơ kiện tụng và làn sóng tấn công lừa đảo nhắm vào khách hàng của từng thương hiệu. Chính vì vậy vụ việc không thể được nhìn nhận như một sự cố đơn lẻ mà phải được coi là lời cảnh báo cấp cao về quản trị rủi ro trong môi trường SaaS và tích hợp ứng dụng.
Chiến lược này cho thấy mục tiêu của nhóm không dừng lại ở lợi nhuận trực tiếp từ tiền chuộc. Khi dữ liệu bị phơi bày, hậu quả lan tỏa: tổn thất niềm tin, rủi ro pháp lý và làn sóng tấn công lừa đảo nhắm vào khách hàng có thể vượt xa giá trị khoản tiền ban đầu. Đây là cách nhóm tin tặc tận dụng sức mạnh của dư luận và hiệu ứng truyền thông để nhân rộng tác động, biến một vụ rò rỉ dữ liệu thành một cuộc khủng hoảng toàn diện, buộc các doanh nghiệp phải đối mặt với các rủi ro chiến lược chứ không chỉ là vấn đề kỹ thuật.
Chuyên gia WhiteHat cũng nhấn mạnh một yếu tố kỹ thuật thường bị bỏ sót là thiếu giám sát hành vi API. Khi dữ liệu bị lạm dụng thông qua token hợp lệ, các cảnh báo truyền thống về đăng nhập bất thường hay phần mềm độc hại không được kích hoạt. Phát hiện sớm vì thế đòi hỏi phân tích hành vi API, áp dụng các luật phát hiện bất thường cho từng loại truy vấn và giám sát liên tục các luồng dữ liệu nhạy cảm.
Để phòng ngừa hiệu quả, các doanh nghiệp cần áp dụng tư duy Zero Trust mở rộng ra toàn bộ hệ sinh thái SaaS.
Vì sao Salesforce trở thành mục tiêu
Salesforce là nền tảng quản lý quan hệ khách hàng (Customer Relationship Management – CRM) hàng đầu, được hàng chục nghìn doanh nghiệp trên toàn cầu sử dụng để quản lý dữ liệu khách hàng, đối tác và nhân viên. Chính sự phổ biến và khả năng tích hợp mạnh mẽ với ứng dụng bên thứ ba khiến Salesforce trở thành “mỏ vàng” cho tin tặc. Các tài khoản kỹ thuật hoặc token OAuth hợp lệ, nếu bị lộ, cho phép truy cập trực tiếp vào dữ liệu nhạy cảm mà không cần khai thác lỗ hổng phần mềm, khiến nền tảng trở thành mục tiêu lý tưởng cho các chiến dịch tống tiền hoặc rò rỉ dữ liệu quy mô lớn.Bên cạnh đó, các kết nối linh hoạt và ứng dụng được ủy quyền sẵn sàng trao quyền truy cập sâu cho hệ thống, trong khi nhiều doanh nghiệp vẫn chưa triển khai giám sát hành vi API hay xác thực đa yếu tố đầy đủ. Điều này mở rộng đáng kể bề mặt tấn công của Salesforce và là lý do nhóm Scattered LAPSUS$ Hunters chọn khai thác các tích hợp thay vì nhắm trực tiếp vào hệ thống nội bộ của từng doanh nghiệp.
Chiến thuật tấn công tinh vi và lặng lẽ
Từ khoảng tháng 4/2024 đến tháng 9/2025, chiến dịch bắt đầu bằng một giai đoạn trinh sát kỹ lưỡng. Theo báo cáo, nhóm tin tặc Scattered LAPSUS$ Hunters lập bản đồ các “cửa vào” hợp pháp trên từng hệ thống Salesforce bằng cách rà soát ứng dụng được ủy quyền, tài khoản dịch vụ và các tích hợp bên thứ ba như Salesloft hay Drift. Mục tiêu là xác định phạm vi quyền của token, địa chỉ callback và nơi lưu trữ bí mật có thể bị lợi dụng để truy cập dữ liệu, từ đó dựng danh sách mục tiêu có độ rủi ro cao nhất. Giai đoạn này đặt nền tảng cho các bước tiếp theo, khi tin tặc tiến hành chiếm quyền ban đầu và thiết lập điểm tồn tại để trích xuất dữ liệu một cách lặng lẽ nhưng hiệu quả.Khi đã có bản đồ mục tiêu, chúng chuyển sang chiếm quyền ban đầu bằng các biện pháp lừa đảo xã hội hoặc khai thác chuỗi cung ứng. Thực tiễn phổ biến là thuyết phục quản trị viên cấp quyền cho một ứng dụng giả mạo hoặc thu thập được refresh token hay client secret từ hệ thống bên thứ ba bị lộ. Một khi nắm trong tay token hợp lệ, chúng thường thiết lập điểm tồn tại bằng cách đăng ký thêm ứng dụng kết nối, tạo tài khoản dịch vụ hoặc lên lịch các công việc tự động để duy trì truy cập mà ít gây chú ý. Một thành viên trong nhóm, tự xưng là Shiny, chia sẻ rằng họ không tấn công trực tiếp Salesforce, mà nhắm vào khách hàng của Salesforce bằng phương pháp lừa đảo qua điện thoại, hay còn gọi là voice phishing. Trong hình thức tấn công này, tin tặc giả danh nhân viên để gọi tới bộ phận hỗ trợ IT, nhằm đánh lừa và chiếm quyền truy cập thông tin nhạy cảm.
Khi có quyền truy cập ổn định, chúng tiến hành trích xuất dữ liệu qua các cơ chế hợp pháp của Salesforce. Chúng dùng API xuất dữ liệu theo khối, công cụ Data Loader hoặc các truy vấn tinh chỉnh để lấy chính xác những trường chứa thông tin cá nhân, sau đó chia nhỏ các job xuất để né giới hạn tốc độ và chuyển kết quả về kho lưu trữ do chúng kiểm soát hoặc qua webhook. Bởi hầu hết thao tác đều diễn ra dưới danh nghĩa ứng dụng được ủy quyền và với token hợp lệ, hoạt động exfiltration thường không kích hoạt cảnh báo đăng nhập bất thường, khiến dữ liệu bị rút ra mà nạn nhân khó phát hiện kịp thời.
Khi đã thu thập đủ,nhóm Scattered LAPSUS$ Hunters sẽ xử lý và công khai một phần dữ liệu làm bằng chứng, kèm yêu cầu tống tiền nhằm khuếch đại áp lực truyền thông và pháp lý lên nạn nhân.
Tác động toàn cầu: Khi hơn 40 tập đoàn bị lộ dữ liệu Salesforce
Hậu quả của chiến dịch nhanh chóng hiện rõ ở quy mô và tính chất đa ngành. Tại Úc, Qantas xác nhận hơn 5 triệu bản ghi khách hàng đã bị phát tán sau khi hạn chót trả tiền chuộc trôi qua, kèm thông điệp khiêu khích của nhóm tin tặc: "Don’t be the next headline, should have paid the ransom." tạm dịch: "Đừng để mình trở thành tiêu đề tiếp theo, đáng ra các người nên trả tiền."Ở Việt Nam, Vietnam Airlines được ghi nhận có khoảng 7,3 triệu thông tin khách hàng bị lộ, bao gồm tên, email, số điện thoại, ngày sinh và chi tiết hội viên chương trình khách hàng thân thiết. Đến nay Vietnam Airlines chưa công bố con số cụ thể về phạm vi ảnh hưởng hay các bước khắc phục đang triển khai. Salesforce khẳng định không có dấu hiệu nền tảng lõi bị xâm nhập và từ chối bình luận chi tiết về các khách hàng tại khu vực châu Á.
Mức độ ảnh hưởng không dừng lại ở vài hãng hàng không. Danh sách do nhóm công bố bao gồm nhiều tập đoàn toàn cầu nổi bật trong lĩnh vực bán lẻ, logistics, giải trí và tài chính, như Toyota, Disney, McDonald’s, Ikea, Adidas, Gap, FedEx, Marriott hay AirFrance-KLM. Khi dữ liệu từ nhiều ngành được khai thác đồng thời, hậu quả trở thành hệ thống: tổn thất niềm tin, chi phí ứng phó, nguy cơ kiện tụng và làn sóng tấn công lừa đảo nhắm vào khách hàng của từng thương hiệu. Chính vì vậy vụ việc không thể được nhìn nhận như một sự cố đơn lẻ mà phải được coi là lời cảnh báo cấp cao về quản trị rủi ro trong môi trường SaaS và tích hợp ứng dụng.
Bản chất chiến dịch: không chỉ là tống tiền
Scattered LAPSUS$ Hunters không chỉ là nhóm tấn công đơn lẻ, mà được xem như liên minh giữa các tập đoàn tin tặc giàu kinh nghiệm trong các chiến dịch rò rỉ dữ liệu toàn cầu. Họ vận hành chiến dịch theo kịch bản tinh vi, kết hợp yếu tố kỹ thuật và áp lực truyền thông, buộc các tổ chức đối mặt đồng thời với khủng hoảng pháp lý và uy tín. Việc công bố dữ liệu từ hơn 40 tổ chức cùng lúc không chỉ gây chú ý tối đa mà còn tạo hiệu ứng domino, khiến nạn nhân phải phản ứng nhanh và tốn kém, từ điều tra nội bộ đến tăng cường bảo mật, cảnh báo khách hàng và đối phó với truyền thông.Chiến lược này cho thấy mục tiêu của nhóm không dừng lại ở lợi nhuận trực tiếp từ tiền chuộc. Khi dữ liệu bị phơi bày, hậu quả lan tỏa: tổn thất niềm tin, rủi ro pháp lý và làn sóng tấn công lừa đảo nhắm vào khách hàng có thể vượt xa giá trị khoản tiền ban đầu. Đây là cách nhóm tin tặc tận dụng sức mạnh của dư luận và hiệu ứng truyền thông để nhân rộng tác động, biến một vụ rò rỉ dữ liệu thành một cuộc khủng hoảng toàn diện, buộc các doanh nghiệp phải đối mặt với các rủi ro chiến lược chứ không chỉ là vấn đề kỹ thuật.
Bài học về bảo mật chuỗi cung ứng dữ liệu
Vụ rò rỉ Salesforce một lần nữa chứng minh rằng bảo mật doanh nghiệp hiện đại không còn chỉ là bảo vệ hệ thống nội bộ. Khi doanh nghiệp tích hợp sâu với nền tảng bên thứ ba, mọi cấu hình, quyền truy cập và ứng dụng kết nối đều trở thành bề mặt tấn công tiềm tàng. Một token OAuth bị lộ, một ứng dụng được cấp quyền quá rộng, hay một tài khoản dịch vụ thiếu xác thực đa yếu tố đều có thể mở toang cánh cửa dữ liệu. Theo chuyên gia WhiteHat, rủi ro thực sự không nằm ở danh sách dữ liệu bị rò rỉ mà nằm ở chuỗi tấn công tiếp theo. Những thông tin tưởng chừng vô hại như email, ngày sinh hay số điện thoại đủ để tin tặc dựng chiến dịch spear-phishing cá nhân hóa, nhắm vào nhân viên hoặc khách hàng để chiếm đoạt thêm thông tin nhạy cảm.Chuyên gia WhiteHat cũng nhấn mạnh một yếu tố kỹ thuật thường bị bỏ sót là thiếu giám sát hành vi API. Khi dữ liệu bị lạm dụng thông qua token hợp lệ, các cảnh báo truyền thống về đăng nhập bất thường hay phần mềm độc hại không được kích hoạt. Phát hiện sớm vì thế đòi hỏi phân tích hành vi API, áp dụng các luật phát hiện bất thường cho từng loại truy vấn và giám sát liên tục các luồng dữ liệu nhạy cảm.
Để phòng ngừa hiệu quả, các doanh nghiệp cần áp dụng tư duy Zero Trust mở rộng ra toàn bộ hệ sinh thái SaaS.
- Kiểm tra và thu hồi toàn bộ ứng dụng OAuth không rõ nguồn gốc cùng các token ít khi được sử dụng
- Áp dụng xác thực đa yếu tố cho mọi tài khoản có quyền quản trị và tài khoản dịch vụ
- Thực thi chính sách least privilege cho mọi ứng dụng và token
- Bật logging chi tiết cho các luồng API và thiết lập cảnh báo khi xuất dữ liệu theo khối lượng lớn
- Giới hạn quyền truy cập theo phạm vi dữ liệu cần thiết và theo địa chỉ IP đáng tin cậy
- Rà soát tích hợp bên thứ ba trước khi cấp quyền
- Triển khai giải pháp CASB để kiểm soát dịch vụ đám mây
- Tổ chức đào tạo phát hiện social engineering và mô phỏng tấn công để đánh giá phản ứng
Tạm kết
Vụ tấn công Salesforce một lần nữa nhấn mạnh rủi ro tiềm ẩn trong chuỗi cung ứng dữ liệu và các tích hợp SaaS. Khi các token hợp lệ, quyền ủy quyền quá rộng hay tài khoản dịch vụ thiếu xác thực đa yếu tố bị khai thác, doanh nghiệp không chỉ đối mặt với nguy cơ mất dữ liệu mà còn phải giải quyết thách thức trong quản trị quyền truy cập, giám sát luồng dữ liệu và kiểm soát các dịch vụ bên thứ ba, đặt ra yêu cầu cao hơn về bảo mật trong môi trường điện toán đám mây.
Chỉnh sửa lần cuối: