Cuộc tấn công không nhắm vào Salesforce mà vào người dùng
Ngày 3/10, nhóm tin tặc tự xưng Scattered LAPSUS$ Hunters tuyên bố đã chiếm đoạt gần một tỉ hồ sơ định danh cá nhân từ hệ thống của các doanh nghiệp sử dụng Salesforce. Tuy nhiên, theo Reuters, thay vì tấn công trực tiếp vào hạ tầng của Salesforce, nhóm này sử dụng kỹ thuật “vishing” – gọi điện giả danh nhân viên hỗ trợ để lừa bộ phận CNTT của doanh nghiệp cài đặt phần mềm độc hại.
Công cụ được giả mạo là Data Loader – một phần mềm chính thức của Salesforce được dùng để nhập và xuất dữ liệu hàng loạt. Một khi được cài đặt, phần mềm độc hại cho phép hacker truy cập hệ thống, thu thập dữ liệu và kiểm soát thông tin khách hàng mà không cần vượt qua lớp bảo mật của Salesforce. Ngoài ra, nhóm này còn khai thác các kết nối bên thứ ba giữa Salesforce và các ứng dụng tích hợp như Salesloft Drift.
Theo phân tích của Google Cloud, kẻ tấn công sử dụng token OAuth bị đánh cắp từ các ứng dụng này để truy cập hệ thống Salesforce, lấy dữ liệu mà không cần thông tin đăng nhập gốc. Chiến thuật này cho thấy mức độ tinh vi khi khai thác các điểm yếu từ liên kết ngoài chứ không phải từ nền tảng chính. Salesforce cho biết họ chưa phát hiện bất kỳ dấu hiệu nào cho thấy hệ thống bị xâm nhập, đồng thời nhấn mạnh không có lỗ hổng nào trong phần mềm cốt lõi.
Mối nguy tiềm tàng với doanh nghiệp Việt Nam
Việt Nam hiện là thị trường đang trong giai đoạn tăng tốc chuyển đổi số, với nhiều doanh nghiệp, ngân hàng, tập đoàn lớn triển khai Salesforce để quản lý khách hàng, bán hàng và dịch vụ. Mặc dù đến thời điểm này chưa ghi nhận tổ chức nào trong nước nằm trong danh sách bị ảnh hưởng, nhưng rủi ro là có thật. Đặc biệt, nếu các doanh nghiệp tích hợp Salesforce với phần mềm bên ngoài mà không kiểm soát chặt chẽ quyền truy cập hoặc để lộ token xác thực, khả năng bị tấn công hoàn toàn có thể xảy ra.
Một trong những nguy cơ lớn nhất là rò rỉ thông tin cá nhân khách hàng như họ tên, email, số điện thoại, lịch sử giao dịch và phản hồi. Những dữ liệu này không chỉ ảnh hưởng đến uy tín doanh nghiệp mà còn có thể bị khai thác cho các cuộc tấn công lừa đảo tiếp theo, gây tổn thất lớn về tài chính và niềm tin. Trong bối cảnh Việt Nam đang hoàn thiện hành lang pháp lý về bảo vệ dữ liệu cá nhân, các doanh nghiệp cũng có thể đối mặt với hậu quả pháp lý nếu để xảy ra rò rỉ do lỗi chủ quan.
Ngoài ra, cuộc tấn công lần này cho thấy bài học rõ ràng về tầm quan trọng của đào tạo nhân viên nhận diện lừa đảo, đặc biệt trong bộ phận IT. Một cuộc gọi giả mạo cũng có thể mở đường cho kẻ gian xâm nhập hệ thống. Các tổ chức cần khẩn trương rà soát toàn bộ ứng dụng tích hợp, thu hồi token OAuth không còn sử dụng, giới hạn quyền truy cập dữ liệu và thiết lập cơ chế giám sát bất thường trong truy cập.
Lời cảnh báo cho môi trường số đang mở rộng
Dù chưa có xác minh độc lập về con số “1 tỉ hồ sơ” mà hacker tuyên bố, nhưng phương thức tấn công đã được ghi nhận nhiều lần, với nhiều doanh nghiệp toàn cầu xác nhận bị ảnh hưởng. Đáng chú ý, động thái công khai “cổng rò rỉ dữ liệu” trên mạng Tor cùng danh sách các nạn nhân tiềm năng cho thấy mục tiêu của nhóm hacker không chỉ là đánh cắp dữ liệu mà còn nhằm tống tiền và gây áp lực.
Đối với doanh nghiệp Việt Nam đang sử dụng Salesforce, đây là lời cảnh báo nghiêm túc. Hệ thống an ninh cần được đánh giá lại không chỉ ở mặt kỹ thuật mà còn ở yếu tố con người và quản trị. Bảo mật không còn là câu chuyện của riêng bộ phận IT mà là trách nhiệm xuyên suốt toàn bộ tổ chức. Trong thế giới số, một mắt xích yếu có thể kéo theo hậu quả cho cả chuỗi hệ thống.
Tin tặc tấn công ngành hàng không toàn cầu 
Nhóm tin tặc phát tán mã độc bị bắt như thế nào? 
Tin tặc lợi dụng hàng nghìn IP máy tính tại Việt Nam để phát tán mã độc 
Tin tặc "chiếm sóng" truyền hình Nga, phát video Tổng thống Ukraine 
Tin tặc tấn công khiến hệ thống đăng ký đất đai tại Đà Nẵng tê liệt 
