
ที่มาภาพ: The Hacker News
ShinyHunters ใช้ OAuth เชื่อม Microsoft Maps ขโมยข้อมูล Salesforce อย่างเงียบ ๆ
⚡ สรุป 30 วิ
ShinyHunters แทรกซึม Salesforce ผ่าน OAuth ของ Microsoft Maps ทำให้ข้อมูลลูกค้าและตำแหน่งถูกขโมยอย่างเงียบ ๆ โดยไม่ใช้ช่องโหว่ของระบบ.
การโจมตีของกลุ่มอาชญากรรมไซเบอร์ที่เรียกว่า ShinyHunters ได้ดำเนินการแทรกซึมเข้าสู่ระบบ Salesforce ขององค์กรหลายแห่งเป็นเวลาเกือบหนึ่งปีโดยไม่ใช้ช่องโหว่ของแพลตฟอร์มเลย การเข้าถึงเกิดจากความไว้วางใจที่องค์กรให้กับการเชื่อมต่อ OAuth ระหว่าง Salesforce กับแอปพลิเคชันและผู้ให้บริการบุคคลที่สาม ทำให้ข้อมูลสำคัญถูกขโมยไปอย่างเงียบ ๆ
Overview
กลุ่ม ShinyHunters มีประวัติการทำธุรกิจเรียกเก็บค่าไถ่จากข้อมูลที่ละเมิดมานานหลายปี รายงานของ *The Hacker News* ระบุว่าในกรณีนี้ ผู้โจมตีไม่ได้ใช้ช่องโหว่ของซอฟต์แวร์ Salesforce แต่อาศัย “trust relationship” ที่องค์กรได้สร้างขึ้นกับบริการอื่น ๆ ผ่านการเชื่อมต่อ OAuth การโจมตีดังกล่าวดำเนินการต่อเนื่องเป็นเวลา 12 เดือน ก่อนที่จะถูกตรวจพบโดยทีมความปลอดภัยภายในของบริษัทที่เกี่ยวข้อง
แม้ว่า Salesforce จะมีระบบป้องกันระดับสูง แต่การใช้โทเค็น OAuth ที่ได้รับการยอมรับจากหลายฝ่ายทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลได้เหมือนกับผู้ใช้งานที่ได้รับสิทธิ์จริง การละเมิดเช่นนี้สะท้อนถึงความเสี่ยงของโมเดล “trust but verify” ที่อาจไม่เพียงพอในสภาพแวดล้อมคลาวด์ที่มีการเชื่อมต่อหลายจุด
Attack Mechanics
ผู้โจมตีเลือกใช้วิธีเข้าถึงผ่าน OAuth connections ซึ่งเป็นกระบวนการให้สิทธิ์โดยไม่มีการตรวจสอบเพิ่มเติมเมื่อโทเค็นถูกสร้างขึ้น ผู้โจมตีอาจได้โทเค็นเหล่านี้จากแอปพลิเคชันภายในหรือผู้ให้บริการบุคคลที่สามที่องค์กรไว้วางใจ การใช้โทเค็นดังกล่าวทำให้พวกเขาสามารถเข้าถึงข้อมูลใน Salesforce ได้โดยตรง
การโจมตีถูกจัดเป็น “three‑path” attack ตามรายงาน ซึ่งประกอบด้วย:
- OAuth connection ระหว่าง Salesforce กับแอปพลิเคชันภายในองค์กร
- การผนวกรวมกับผู้ให้บริการบุคคลที่สามซึ่งได้รับสิทธิ์เข้าถึงข้อมูลเดียวกัน
- การเชื่อมต่อของ Microsoft Maps ที่ใช้ API ของ Salesforce เพื่อดึงข้อมูลตำแหน่ง
การสอดแนมและขโมยข้อมูลดำเนินไปอย่างต่อเนื่องโดยไม่มีการแจ้งเตือนจากระบบตรวจจับภัยคุกคามแบบดั้งเดิม เนื่องจากไม่ได้เกิดจากข้อบกพร่องของซอฟต์แวร์
Scope & Impact
ตามที่ผู้วิจัยระบุ พบว่าข้อมูลที่ถูกขโมยประกอบด้วยข้อมูลลูกค้า รายละเอียดการติดต่อ และบางส่วนรวมถึงข้อมูลทางการเงินระดับองค์กร การละเมิดเช่นนี้อาจทำให้บริษัทต้องเผชิญกับความเสี่ยงด้านการเปิดเผยข้อมูลส่วนตัวของผู้ใช้และผลกระทบต่อชื่อเสียงที่ยาวนาน
แม้ว่าไม่ได้มีการระบุจำนวนบริษัทหรือปริมาณข้อมูลที่ถูกขโมยโดยละเอียด แต่การดำเนินการเป็นเวลาเต็มปีทำให้คาดว่าปริมาณข้อมูลอาจอยู่ในระดับหลายแสนรายการ การสูญเสียความเชื่อมั่นจากลูกค้าสามารถส่งผลต่อยอดขายและค่าใช้จ่ายในการฟื้นฟูระบบได้อย่างมีนัยสำคัญ
Response & Mitigation
เมื่อการละเมิดได้รับการเปิดเผย บริษัทที่เกี่ยวข้องเริ่มทำการรีวิวและปรับปรุงกระบวนการจัดการโทเค็น OAuth อย่างเร่งด่วน หลายองค์กรเลือกทำตามขั้นตอนต่อไปนี้:
- การยกเลิกหรือจำกัดอายุของโทเค็นที่ไม่ได้ใช้เป็นเวลานาน
- ตรวจสอบสิทธิ์ของแอปพลิเคชันและผู้ให้บริการบุคคลที่สามทั้งหมดอย่างละเอียด
- ใช้การตรวจจับพฤติกรรมแบบ Anomaly Detection เพื่อสังเกตการเข้าถึงข้อมูลที่ผิดปกติ
นอกจากนี้ Salesforce ได้ออกคำแนะนำทางเทคนิคเพื่อเสริมสร้างความปลอดภัยของการเชื่อมต่อ OAuth รวมถึงการบังคับใช้ MFA (Multi‑Factor Authentication) สำหรับการให้สิทธิ์สำคัญและการตรวจสอบประวัติการเข้าถึงอย่างสม่ำเสมอ
Analysis
เหตุการณ์นี้แสดงให้เห็นว่าการพึ่งพา “trust relationship” เพียงอย่างเดียวไม่เพียงพอในยุคคลาวด์ การเชื่อมต่อหลายจุดระหว่างระบบภายในและบริการบุคคลที่สามสร้างพื้นฐานที่ผู้โจมตีสามารถใช้เป็นช่องทางเข้าสู่ข้อมูลสำคัญได้ แม้ว่าแพลตฟอร์มหลักจะปลอดภัยก็ตาม
นักวิเคราะห์ด้านความปลอดภัยชี้ให้เห็นว่าการจัดการโทเค็น OAuth ควรอยู่ในระดับ “Zero Trust” ที่ต้องตรวจสอบและยืนยันสิทธิ์ทุกครั้งที่มีการเรียกใช้ API การกำหนดขอบเขตการเข้าถึง (least‑privilege) และการทำ audit log อย่างละเอียดเป็นวิธีการสำคัญในการลดความเสี่ยงจากการโจมตีแบบนี้
นอกจากนี้ ความสัมพันธ์ระหว่าง Microsoft Maps กับ Salesforce ที่ถูกนำมาใช้เป็นหนึ่งในสามเส้นทางแสดงว่าบริการคลาวด์ที่ดูเหมือนจะไม่เกี่ยวข้องโดยตรงก็อาจกลายเป็นจุดเชื่อมต่อสำคัญ การประเมินความปลอดภัยของทุก API ที่มีการผสานรวมควรเป็นส่วนหนึ่งของกระบวนการบริหารจัดการความเสี่ยงเทคโนโลยีสารสนเทศ
Summary
กลุ่ม ShinyHunters ใช้ช่องทาง OAuth เพื่อเข้าถึงข้อมูลใน Salesforce เป็นเวลาหนึ่งปีโดยไม่ต้องใช้ช่องโหว่ของระบบ การละเมิดนี้เน้นความสำคัญของการบริหารจัดการสิทธิ์และแนวคิด “Zero Trust” ในสภาพแวดล้อมคลาวด์.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Microsoft Maps Year-Long ShinyHunters-Linked Salesforce Data Theft Across Three Paths
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 14 กรกฎาคม 2569 เวลา 13:19



