知名云基 SaaS（软件即服务）提供商 Workiva 已通知其客户，攻击者通过入侵第三方客户关系管理（CRM）系统，窃取了部分用户数据。

Workiva 的云软件主要用于为财务报告、合规审查和审计工作收集、关联及共享数据。截至去年年底，该公司拥有 6305 家客户，2024 年营收达 7.39 亿美元。

其客户名单涵盖 85% 的《财富》500 强企业，以及谷歌、T-Mobile、达美航空、Wayfair、好时、Slack、高知特、桑坦德银行、诺基亚、卡夫亨氏、温迪快餐、派拉蒙、梅赛德斯 - 奔驰等知名企业。

数据泄露细节与平台安全性说明

据 Workiva 上周发送给受影响客户的私人邮件通知显示，攻击者窃取了少量商业联系信息，包括姓名、电子邮箱地址、电话号码以及支持工单内容。

该公司解释称：" 此类事件与近期多起针对大型机构的攻击类似。重要的是，Workiva 平台本身及其中的所有数据均未被访问或破坏。CRM 供应商已通知我们，攻击者是通过一个关联的第三方应用程序非法入侵的。"

Workiva 还提醒受影响客户保持警惕，因为被盗信息可能被用于鱼叉式钓鱼攻击。

关联 Salesforce 数据泄露事件

尽管 Workiva 未披露此次攻击的更多细节，但据了解，该事件是近期 Salesforce 数据泄露潮的一部分——这一系列攻击与勒索团伙 ShinyHunters 有关，已影响多家知名企业。

就在不久前，Cloudflare 披露称，其被迫轮换了 104 个由 Cloudflare 平台签发的令牌，这些令牌被 ShinyHunters 团伙窃取。该团伙于 8 月中旬入侵了 Cloudflare 用于客户支持和内部客户案例管理的 Salesforce 实例。 

自今年年初以来，ShinyHunters 就通过语音钓鱼（vishing）针对 Salesforce 客户实施数据盗窃攻击，受影响企业包括谷歌、Cisco、Allianz Life、、Workday、Qantas、Adidas 以及 LVMH 旗下子公司（包括迪奥、路易威登和蒂芙尼等）。 

近期，该勒索团伙的攻击手段有所转变：他们开始利用窃取的 OAuth 令牌（用于 Salesloft 的 Drift AI 聊天工具与 Salesforce 的集成功能）入侵客户的 Salesforce 实例，并从客户消息和支持工单中提取敏感信息，如密码、AWS 访问密钥和 Snowflake 令牌。 

通过这种方式，ShinyHunters 除了窃取 Salesforce CRM 数据外，还入侵了少量谷歌 Workspace 账户，并攻陷了网络安全公司 Zscaler 和 Palo Alto Networks 的 Salesforce。