ShinyHunters ใช้ OAuth เชื่อม Microsoft Maps ขโมยข้อมูล Salesforce อย่างเงียบ ๆ

ที่มาภาพ: The Hacker News

Security-อ่าน 6 นาทีThe Hacker News

ShinyHunters ใช้ OAuth เชื่อม Microsoft Maps ขโมยข้อมูล Salesforce อย่างเงียบ ๆ

⚡ สรุป 30 วิ

ShinyHunters แทรกซึม Salesforce ผ่าน OAuth ของ Microsoft Maps ทำให้ข้อมูลลูกค้าและตำแหน่งถูกขโมยอย่างเงียบ ๆ โดยไม่ใช้ช่องโหว่ของระบบ.

การโจมตีของกลุ่มอาชญากรรมไซเบอร์ที่เรียกว่า ShinyHunters ได้ดำเนินการแทรกซึมเข้าสู่ระบบ Salesforce ขององค์กรหลายแห่งเป็นเวลาเกือบหนึ่งปีโดยไม่ใช้ช่องโหว่ของแพลตฟอร์มเลย การเข้าถึงเกิดจากความไว้วางใจที่องค์กรให้กับการเชื่อมต่อ OAuth ระหว่าง Salesforce กับแอปพลิเคชันและผู้ให้บริการบุคคลที่สาม ทำให้ข้อมูลสำคัญถูกขโมยไปอย่างเงียบ ๆ

Overview

กลุ่ม ShinyHunters มีประวัติการทำธุรกิจเรียกเก็บค่าไถ่จากข้อมูลที่ละเมิดมานานหลายปี รายงานของ *The Hacker News* ระบุว่าในกรณีนี้ ผู้โจมตีไม่ได้ใช้ช่องโหว่ของซอฟต์แวร์ Salesforce แต่อาศัย “trust relationship” ที่องค์กรได้สร้างขึ้นกับบริการอื่น ๆ ผ่านการเชื่อมต่อ OAuth การโจมตีดังกล่าวดำเนินการต่อเนื่องเป็นเวลา 12 เดือน ก่อนที่จะถูกตรวจพบโดยทีมความปลอดภัยภายในของบริษัทที่เกี่ยวข้อง

แม้ว่า Salesforce จะมีระบบป้องกันระดับสูง แต่การใช้โทเค็น OAuth ที่ได้รับการยอมรับจากหลายฝ่ายทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลได้เหมือนกับผู้ใช้งานที่ได้รับสิทธิ์จริง การละเมิดเช่นนี้สะท้อนถึงความเสี่ยงของโมเดล “trust but verify” ที่อาจไม่เพียงพอในสภาพแวดล้อมคลาวด์ที่มีการเชื่อมต่อหลายจุด

Attack Mechanics

ผู้โจมตีเลือกใช้วิธีเข้าถึงผ่าน OAuth connections ซึ่งเป็นกระบวนการให้สิทธิ์โดยไม่มีการตรวจสอบเพิ่มเติมเมื่อโทเค็นถูกสร้างขึ้น ผู้โจมตีอาจได้โทเค็นเหล่านี้จากแอปพลิเคชันภายในหรือผู้ให้บริการบุคคลที่สามที่องค์กรไว้วางใจ การใช้โทเค็นดังกล่าวทำให้พวกเขาสามารถเข้าถึงข้อมูลใน Salesforce ได้โดยตรง

การโจมตีถูกจัดเป็น “three‑path” attack ตามรายงาน ซึ่งประกอบด้วย:

  • OAuth connection ระหว่าง Salesforce กับแอปพลิเคชันภายในองค์กร
  • การผนวกรวมกับผู้ให้บริการบุคคลที่สามซึ่งได้รับสิทธิ์เข้าถึงข้อมูลเดียวกัน
  • การเชื่อมต่อของ Microsoft Maps ที่ใช้ API ของ Salesforce เพื่อดึงข้อมูลตำแหน่ง

การสอดแนมและขโมยข้อมูลดำเนินไปอย่างต่อเนื่องโดยไม่มีการแจ้งเตือนจากระบบตรวจจับภัยคุกคามแบบดั้งเดิม เนื่องจากไม่ได้เกิดจากข้อบกพร่องของซอฟต์แวร์

Scope & Impact

ตามที่ผู้วิจัยระบุ พบว่าข้อมูลที่ถูกขโมยประกอบด้วยข้อมูลลูกค้า รายละเอียดการติดต่อ และบางส่วนรวมถึงข้อมูลทางการเงินระดับองค์กร การละเมิดเช่นนี้อาจทำให้บริษัทต้องเผชิญกับความเสี่ยงด้านการเปิดเผยข้อมูลส่วนตัวของผู้ใช้และผลกระทบต่อชื่อเสียงที่ยาวนาน

แม้ว่าไม่ได้มีการระบุจำนวนบริษัทหรือปริมาณข้อมูลที่ถูกขโมยโดยละเอียด แต่การดำเนินการเป็นเวลาเต็มปีทำให้คาดว่าปริมาณข้อมูลอาจอยู่ในระดับหลายแสนรายการ การสูญเสียความเชื่อมั่นจากลูกค้าสามารถส่งผลต่อยอดขายและค่าใช้จ่ายในการฟื้นฟูระบบได้อย่างมีนัยสำคัญ

Response & Mitigation

เมื่อการละเมิดได้รับการเปิดเผย บริษัทที่เกี่ยวข้องเริ่มทำการรีวิวและปรับปรุงกระบวนการจัดการโทเค็น OAuth อย่างเร่งด่วน หลายองค์กรเลือกทำตามขั้นตอนต่อไปนี้:

  • การยกเลิกหรือจำกัดอายุของโทเค็นที่ไม่ได้ใช้เป็นเวลานาน
  • ตรวจสอบสิทธิ์ของแอปพลิเคชันและผู้ให้บริการบุคคลที่สามทั้งหมดอย่างละเอียด
  • ใช้การตรวจจับพฤติกรรมแบบ Anomaly Detection เพื่อสังเกตการเข้าถึงข้อมูลที่ผิดปกติ

นอกจากนี้ Salesforce ได้ออกคำแนะนำทางเทคนิคเพื่อเสริมสร้างความปลอดภัยของการเชื่อมต่อ OAuth รวมถึงการบังคับใช้ MFA (Multi‑Factor Authentication) สำหรับการให้สิทธิ์สำคัญและการตรวจสอบประวัติการเข้าถึงอย่างสม่ำเสมอ

Analysis

เหตุการณ์นี้แสดงให้เห็นว่าการพึ่งพา “trust relationship” เพียงอย่างเดียวไม่เพียงพอในยุคคลาวด์ การเชื่อมต่อหลายจุดระหว่างระบบภายในและบริการบุคคลที่สามสร้างพื้นฐานที่ผู้โจมตีสามารถใช้เป็นช่องทางเข้าสู่ข้อมูลสำคัญได้ แม้ว่าแพลตฟอร์มหลักจะปลอดภัยก็ตาม

นักวิเคราะห์ด้านความปลอดภัยชี้ให้เห็นว่าการจัดการโทเค็น OAuth ควรอยู่ในระดับ “Zero Trust” ที่ต้องตรวจสอบและยืนยันสิทธิ์ทุกครั้งที่มีการเรียกใช้ API การกำหนดขอบเขตการเข้าถึง (least‑privilege) และการทำ audit log อย่างละเอียดเป็นวิธีการสำคัญในการลดความเสี่ยงจากการโจมตีแบบนี้

นอกจากนี้ ความสัมพันธ์ระหว่าง Microsoft Maps กับ Salesforce ที่ถูกนำมาใช้เป็นหนึ่งในสามเส้นทางแสดงว่าบริการคลาวด์ที่ดูเหมือนจะไม่เกี่ยวข้องโดยตรงก็อาจกลายเป็นจุดเชื่อมต่อสำคัญ การประเมินความปลอดภัยของทุก API ที่มีการผสานรวมควรเป็นส่วนหนึ่งของกระบวนการบริหารจัดการความเสี่ยงเทคโนโลยีสารสนเทศ

Summary

กลุ่ม ShinyHunters ใช้ช่องทาง OAuth เพื่อเข้าถึงข้อมูลใน Salesforce เป็นเวลาหนึ่งปีโดยไม่ต้องใช้ช่องโหว่ของระบบ การละเมิดนี้เน้นความสำคัญของการบริหารจัดการสิทธิ์และแนวคิด “Zero Trust” ในสภาพแวดล้อมคลาวด์.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
Microsoft Maps Year-Long ShinyHunters-Linked Salesforce Data Theft Across Three Paths
ผู้เขียน
[email protected] (The Hacker News)
แหล่ง
The Hacker News
วันที่เผยแพร่
14 กรกฎาคม 2569 เวลา 13:19

Related

บทความที่เกี่ยวข้อง

ShinyHunters แฮ็ก NAIC ผ่านช่องโหว่ศูนย์วันของ PeopleSoftSecurity
2 กรกฎาคม 2569 เวลา 03:30

ShinyHunters แฮ็ก NAIC ผ่านช่องโหว่ศูนย์วันของ PeopleSoft

กลุ่ม ShinyHunters ใช้ช่องโหว่ศูนย์วันของ Oracle PeopleSoft เข้าถึงระบบของ NAIC และดึงข้อมูลสาธารณะและไฟล์กำหนดค่าออกมา NAIC…

BleepingComputer6 นาที
การโจมตีซัพพลายเชนของ Klue ทำให้บริษัทด้านความปลอดภัยหลายร้อยแห่งถูกละเมิดข้อมูลSecurity
25 มิถุนายน 2569 เวลา 02:00

การโจมตีซัพพลายเชนของ Klue ทำให้บริษัทด้านความปลอดภัยหลายร้อยแห่งถูกละเมิดข้อมูล

Klue ถูกเจาะระบบซัพพลายเชนเมื่อ 11‑มิถุนายนโดยใช้ credential เก่าเพื่อดึง OAuth token ทำให้ข้อมูล Salesforce ของหลายร้อยบริษัท…

The Register6 นาที
Ghostcommit ฝัง Prompt ในไฟล์ PNG เพื่อดึงข้อมูลลับจาก .env ผ่าน AI agentsSecurity
13 กรกฎาคม 2569 เวลา 16:00

Ghostcommit ฝัง Prompt ในไฟล์ PNG เพื่อดึงข้อมูลลับจาก .env ผ่าน AI agents

นักวิจัยเผยเทคนิค Ghostcommit ใช้ steganography ซ่อน prompt ลงในเมตาดาต้า PNG ทำให้ AI agents เช่น CodeRabbit อ่านค่า .env แล้วสั่งให้ส่งออกเป็นตัวเลข…

BleepingComputer7 นาที
Microsoft เตือน AI จะทำให้วัน Patch Tuesday แพทช์เพิ่มขึ้นและซับซ้อนยิ่งกว่าเดิมSecurity
12 กรกฎาคม 2569 เวลา 08:30

Microsoft เตือน AI จะทำให้วัน Patch Tuesday แพทช์เพิ่มขึ้นและซับซ้อนยิ่งกว่าเดิม

Microsoft เตือนว่าการใช้ AI จะเพิ่มจำนวนและความซับซ้อนของแพทช์ในวัน Patch Tuesday มากกว่าเดิม บริษัทกำลังนำระบบสแกนหลายโมเดล MDASH…

The Register6 นาที
คัดลอกลิงก์แล้ว!