谷歌确认遭UNC6040攻击，Salesforce数据泄露波及自身

新闻
2025年8月7日 | 4分钟阅读 | 网络攻击

谷歌已承认自己是其威胁情报团队（GTIG）6月发现的与Salesforce相关数据盗窃活动的受害者之一。

在8月5日对6月披露的针对Salesforce客户的持续语音钓鱼（vishing）活动的更新中，谷歌透露，其部分客户信息遭到泄露。
“6月，谷歌的一个企业Salesforce实例受到本文所述类似UNC6040活动的影响，”谷歌在更新中表示。“该实例用于存储中小企业的联系信息和相关笔记。”

该活动被归因于谷歌追踪为UNC6040的威胁组织，该组织在入侵Salesforce后，横向移动至云服务，瞄准Okta、Microsoft 365和Workplace等工具以扩大泄露范围。

Sentra网络安全传播者David Stuart表示，窃取谷歌托管的数据是有道理的。“这次泄露是一系列针对Salesforce环境攻击中的最新一起，从Qantas到Pandora，现在是谷歌，”他说。“这明确表明攻击者正专注于数据最集中、通常最不可见的地方——云SaaS应用程序内部。”

被盗数据公开可用：谷歌

根据更新，由于被盗数据的性质，此次泄露的影响可能很小。“威胁行为者检索的数据仅限于基本且大部分公开可用的商业信息，例如企业名称和联系方式，”更新称。

谷歌的安全团队能够在过程中遏制盗窃。“分析显示，威胁行为者是在访问被切断前的短时间内检索数据的，”谷歌表示。在6月的披露中，这家云巨头曾表示类似情况，但未点名自己是受害者。“在一个实例中，威胁行为者使用小块大小从Salesforce进行数据外泄，但仅在检测和访问撤销前检索了约10%的数据，”它指出。

谷歌未评论在披露活动时是否知晓自身数据被盗。

Immersive首席网络安全工程师Ben McCarthy警告称，泄露的长期后果可能更严重。“一个关键问题是这些攻击中访问的个人信息，如姓名和出生日期，是无法更改的信息，”他说。“这些细节以及电子邮件地址被网络犯罪分子武器化用于钓鱼攻击。”

威胁行为者本身进一步放大了这一担忧，据报道他们（部分）确认了泄露，并声称正在考虑只是泄露数据而不是勒索谷歌。

攻击者可能也声称入侵了谷歌

GTIG还披露了与UNC6040入侵相关的勒索活动，有时由另一个威胁组织UNC6240在初始数据盗窃数月后执行，该组织自称是臭名昭著的BreachForums管理员‘ShinyHunters’。

当时，GTIG团队推测该声称是为了向受害者施压以加速付款，这些付款需在72小时内以比特币支付。虽然归因尚未确认，但BleepingComputer报告称，其在8月5日周一与ShinyHunters进行了对话，后者声称在持续攻击中入侵了许多Salesforce实例，包括一家万亿美元公司，但未确认是谷歌。据报道，ShinyHunters还告诉BleepingComputers他们针对从该公司窃取的数据的“只是泄露数据”计划。

这一揭露特别有趣，因为据报道ShinyHunters与其他四名BreachForums管理员（包括IntelBroker）于6月中旬被法国警方逮捕。

如果ShinyHunters确实是这些攻击的幕后黑手，担忧可能会升级。该著名BreachForums黑客网站的前管理员长期是网络威胁 landscape 的固定人物。该组织最引人注目的声称涉及PowerSchool、Oracle Cloud、Snowflake数据盗窃攻击、AT&T和Microsoft的私有GitHub存储库的入侵。