Yeni bir sızıntı sitesi, kendisini “dağınık Lapsus $ avcılar” olarak adlandıran kötü şöhretli grup tarafından işletildi (dağınık örümcek, lapsu $ ve parlatıcıların taktiklerini ve markasını birleştiren bir koalisyon) ve dünyadaki en büyük Saas ve CRM sağlayıcılarından biri olan Salesforce’un, 98’in bir up (98’i) olduğu cesur bir iddiada bulundu.
Grup, saldırının 2024’ün ortalarında gerçekleştiğini ve çalınan verilerin birden fazla terabayt anlamına geldiğini söylüyor. Sitelerinde yayınlanan mesajlarda, verilerin sosyal güvenlik numaraları, sürücü belgesi ve doğum tarihleri gibi son derece hassas kişisel bilgileri içerdiğini iddia ediyorlar. Şimdi Salesforce’un 10 Ekim 2025’ten önce müzakere etmesini talep ediyorlar, son teslim tarihi, bunu yapamamasının tam önbelleğin serbest bırakılmasına neden olacağını söyledi.
Buna ek olarak, bilgisayar korsanları hukuk firmalarını onlarla işbirliği yapmaya davet ediyorlar, hatta Berger Montague’u kanıt paylaşacakları bir ortak olarak adlandırıyorlar. Bilgisayar korsanları bunu daha az bir tehdit gibi ve daha çok bir teklif gibi sunuyorlar. Ayrıca, ABD ve Avrupa’daki mahkemelere ve düzenleyicilere ayrıntılı belgeler sunacaklarını iddia ederek, Salesforce’un tekrarlanan müdahaleleri engelleyemeyerek “cezai ihmal” ile hareket ettiğini iddia ediyorlar.
Sızıntı alanında kurban olarak adlandırılan şirketlerin listesi çok büyük. Grup, verileri Salesforce barındıran sistemlerden alındığını söyledikleri 39 kuruluşu listelemiştir. Liste şunları içerir:
- KFC – 1.3GB
- ASICS – 9GB
- UPS – 91.34GB
- IKEA – 13GB
- Gap, Inc. – 1GB
- Petco – 9.9GB
- Cisco – 5.6GB
- McDonald’s – 28GB
- Cartier – 1.4GB
- Adidas – 37GB
- Fujifilm – 155MB
- Instacart – 32GB
- Marriott – 7GB
- Walgreens – 11GB
- Pandoranet – 8.3GB
- Chanel – 2GB
- CarMax – 1.7GB
- Disney/Hulu – 36GB
- TransUnion – 22GB
- Aeromexico – 172.95GB
- Toyota Motor Şirketleri – 64GB
- Stellantis – 59GB
- Cumhuriyet Hizmetleri – 42GB
- Triplea (AAACOM) – 23GB
- Saks Beşinci – 1.1GB
- Albertsons (Jewel Osco, vb.) – 2GB
- Engie Resources (Plymouth) – 3GB
- 1-800 Accountant-18GB
- HMH (HMHCocom) – 88GB
- InstructureCom – Tuval – 35GB
- Google Adsense – 19GB
- HBO Max – 3.2GB
- FedEx – 1.1 TB
- Qantas Airways – 153GB
- Vietnam Havayolları – 63.62GB
- Air France & KLM – 51GB
- Home Depot – 19.43GB
- Dry (Gucci, Balenciaga, Brioni, Alexmcq) – 10GB
Bilgisayar korsanları Salesforce’u başarısızlıkla suçluyor
Bilgisayar korsanları Salesforce’u çok faktörlü kimlik doğrulamasını zorlamakla suçluyor ve OAuth uygulama zayıflıkları aracılığıyla 100’den fazla isimsiz örneği başarıyla hedeflediklerini söylüyor. Ayrıca, Temmuz 2025’te Operasyona bağlı bir adresten Salesforce’a e -posta gönderdiklerini ve anlamlı bir yanıt almadıklarını iddia ederek daha önceki uyarılara işaret ediyorlar.
Bilgisayar korsanları mesajlarını kısmen fidye talebi, kısmen teknik brifing olarak sunarlar. Saldırılarının bir yıl sürdüğünü, açık izleri bıraktığını ve Salesforce’un onları tespit etmek ve durdurmak için yeterli zamana sahip olduğunu iddia ediyorlar.
Ayrıca, veri koruma görevlerinin göz ardı edildiğini savunarak GDPR, CCPA ve HIPAA yükümlülüklerini de belirtiyorlar. Bunu desteklemek için, saldırı parmak izleri, ülkeye göre parçalanmış etkilenen nüfus ve maruz kalan bilgi türleri hakkında detaylar ile adli tıp tarzı belgeleri yayınlamaya söz veriyorlar.
Saldırganlar bir tuta.io temel iletişim adresini ve herhangi bir iletişimin konu satırına katı bir doğrulama biçimi eklemesi gerekir. Doğrulanmış temsilcilerin müzakerelerin gerçekleşebileceği canlı bir kanala iletileceğini söylüyorlar.
Salesforce görünüşe göre biliyor
Bilgisayar korsanları ayrıca telgraf kanallarında, devam eden gasp girişimlerini kabul eden bir Salesforce güvenlik danışmanlığı gösterdiği görülen bir ekran görüntüsü de dağıttılar. Mesajda Salesforce, sosyal mühendislik tehditlerini ifade eder, platformunun tehlikeye atıldığına dair bir kanıt olmadığını belirtir ve müşterilere ekiplerinin durumu izlediğine dair güvence verir.
Görüntü bağımsız olarak doğrulanamadığından, bu danışma belgesinin saldırganların kampanyasının bir parçası olarak otantik veya üretilip üretilmediği belirsizdir. Bununla birlikte, grubun sitesi 10 Ekim 2025 tarihini koruyor ve statü “aktif” olarak listeleniyor. Ve site canlı olarak, grup artık son tarih yaklaştıkça şirket üzerindeki baskıyı artırmak için halka açık bir aracı var.