知名云基SaaS（软件即服务）提供商Workiva已通知其客户，攻击者通过入侵第三方客户关系管理（CRM）系统，窃取了部分用户数据。

Workiva的云软件主要用于为财务报告、合规审查和审计工作收集、关联及共享数据。截至去年年底，该公司拥有6305家客户，2024年营收达7.39亿美元。

其客户名单涵盖85%的《财富》500强企业，以及谷歌、T-Mobile、达美航空、Wayfair、好时、Slack、高知特、桑坦德银行、诺基亚、卡夫亨氏、温迪快餐、派拉蒙、梅赛德斯-奔驰等知名企业。

数据泄露细节与平台安全性说明

据Workiva上周发送给受影响客户的私人邮件通知显示，攻击者窃取了少量商业联系信息，包括姓名、电子邮箱地址、电话号码以及支持工单内容。

该公司解释称：“此类事件与近期多起针对大型机构的攻击类似。重要的是，Workiva平台本身及其中的所有数据均未被访问或破坏。CRM供应商已通知我们，攻击者是通过一个关联的第三方应用程序非法入侵的。”

Workiva还提醒受影响客户保持警惕，因为被盗信息可能被用于鱼叉式钓鱼攻击。

关联Salesforce数据泄露事件

尽管Workiva未披露此次攻击的更多细节，但据了解，该事件是近期Salesforce数据泄露潮的一部分——这一系列攻击与勒索团伙ShinyHunters有关，已影响多家知名企业。

就在不久前，Cloudflare披露称，其被迫轮换了104个由Cloudflare平台签发的令牌，这些令牌被ShinyHunters团伙窃取。该团伙于8月中旬入侵了Cloudflare用于客户支持和内部客户案例管理的Salesforce实例。 

自今年年初以来，ShinyHunters就通过语音钓鱼（vishing）针对Salesforce客户实施数据盗窃攻击，受影响企业包括谷歌、Cisco、Allianz Life、、Workday、Qantas、Adidas以及LVMH旗下子公司（包括迪奥、路易威登和蒂芙尼等）。 

近期，该勒索团伙的攻击手段有所转变：他们开始利用窃取的OAuth令牌（用于Salesloft的Drift AI聊天工具与Salesforce的集成功能）入侵客户的Salesforce实例，并从客户消息和支持工单中提取敏感信息，如密码、AWS访问密钥和Snowflake令牌。 

通过这种方式，ShinyHunters除了窃取Salesforce CRM数据外，还入侵了少量谷歌Workspace账户，并攻陷了网络安全公司Zscaler和Palo Alto Networks的Salesforce。