香奈儿通知客户遭遇第三方数据泄露

法国百年奢侈时尚品牌香奈儿在致客户信中宣布成为数据泄露事件的受害者。

据该时尚巨头透露，漏洞最初于7月25日被发现，当时威胁行为者通过第三方服务提供商获得了访问权限。

“根据调查结果，未经授权的外部方获取的数据仅包含联系美国客户服务中心的部分个人的有限详细信息——具体包括姓名、电子邮件地址、邮寄地址和电话号码，“一位发言人宣布。

发言人补充说，被访问的数据库中不包含其他信息，受影响客户已收到通知。

Bleeping Computer首先报道称该第三方提供商为Salesforce。香奈儿并非首家受到这波Salesforce第三方漏洞影响的公司。黑客一直通过语音钓鱼（vishing）手段欺骗Salesforce客户，窃取凭证或诱骗员工通过公司Salesforce门户授权恶意OAuth应用。

“Salesforce平台并未遭到入侵，所述问题并非由于我们平台的任何已知漏洞，“公司告诉BleepingComputer。“虽然Salesforce在所有产品中都内置了企业级安全功能，但客户在保护数据安全方面也扮演着关键角色——尤其是在复杂网络钓鱼和社会工程攻击日益增多的情况下。”

目前，据报道受这波数据泄露影响的公司尚未出现公开数据泄露，但它们都收到了威胁行为者通过电子邮件发送的勒索信息。这包括阿迪达斯、路易威登、迪奥、蒂芙尼等公司。

“与Salesforce相关的攻击始于2025年3月，当时Salesforce最初警告客户其平台面临语音钓鱼手段的’近期增长’，“Outpost24战略研究团队负责人Lidia Lopez在发送给Dark Reading的电子邮件声明中写道。“然而，当谷歌威胁情报小组在2025年6月宣布黑客系统性地针对约20家美国和欧洲公司的Salesforce数据时，攻击显著加剧。”

“数周甚至数月后，受害者会收到自称为ShinyHunters的威胁行为者打来的勒索电话和电子邮件，给予72小时期限要求向特定比特币钱包地址付款，“Lopez补充道。“这种以数据勒索为驱动的赎金要求通常随后会在暗网论坛上公布泄露的数据库数据。”

Salesforce鼓励客户遵循安全最佳实践，例如使用多因素认证（MFA）和管理连接应用程序，以减轻这些威胁。