ShinyHunters กลับมาแล้ว — ครั้งนี้เล็งที่ Salesforce
กลุ่มแฮกเกอร์ชื่อดัง ShinyHunters ที่เคยสร้างความเสียหายครั้งใหญ่ให้ Snowflake ในปี 2024 กลับมาอีกครั้งด้วยแคมเปญโจมตีใหม่ผ่าน Salesforce Experience Cloud โดยอ้างว่าได้เข้าถึงข้อมูลขององค์กรกว่า 300–400 แห่ง และกำลังขู่เปิดเผยข้อมูลหากไม่ได้รับเงิน
เกิดขึ้นได้อย่างไร — Misconfiguration + เครื่องมือของนักป้องกันเอง
สิ่งที่น่าตกใจคือ ShinyHunters ไม่ได้ใช้ช่องโหว่ Zero-Day หรือมัลแวร์ซับซ้อนใดๆ แต่ใช้วิธีเจาะผ่าน ช่องโหว่ที่เกิดจากการตั้งค่าผิด (Misconfiguration) ของ Salesforce Experience Cloud โดยเฉพาะที่ API endpoint /s/sfsites/aura
ยิ่งไปกว่านั้น กลุ่มนี้ยังดัดแปลง AuraInspector ซึ่งเป็นเครื่องมือ Open Source ที่ Mandiant พัฒนาขึ้นสำหรับช่วยทีม Security ตรวจสอบช่องโหว่ ให้กลายเป็นอาวุธโจมตีแทน
Timeline การโจมตี
| ช่วงเวลา | เหตุการณ์ |
|---|---|
| กันยายน 2025 | ShinyHunters เริ่มสแกนหา Salesforce Experience Cloud ที่ตั้งค่าผิด |
| มกราคม 2026 | เริ่มใช้ AuraInspector เวอร์ชันดัดแปลงขยายสเกลการโจมตี |
| 10 มีนาคม 2026 | Salesforce CSOC ยืนยันพบการโจมตีอย่างเป็นทางการ |
| 11 มีนาคม 2026 | ShinyHunters เปิดเผยรายชื่อเหยื่อต่อสื่อ |
รายชื่อองค์กรที่อ้างว่าถูกเจาะ
ShinyHunters อ้างชื่อเหยื่อที่เป็นที่รู้จักในวงการเทคโนโลยีและความปลอดภัยหลายราย ได้แก่ Snowflake, Okta, LastPass, Sony, AMD และที่น่าตกใจที่สุดคือ Salesforce เอง ก็ถูกรวมอยู่ในรายชื่อด้วย นอกจากนี้ยังมีองค์กรขนาดใหญ่อีกหลายร้อยแห่งที่ยังไม่ถูกเปิดเผยชื่อ
Salesforce ตอบสนองอย่างไร
หลังจาก CSOC ตรวจพบ Salesforce ออก Customer Alert และเผยแพร่คำแนะนำสำหรับลูกค้าในการป้องกัน ซึ่งรวมถึงการตรวจสอบ Access Control ของ Guest User บน Experience Cloud และการปิด API Endpoint ที่ไม่ได้ใช้งาน
ถ้าองค์กรคุณใช้ Salesforce Experience Cloud — ควรทำทันที
ตรวจสอบการตั้งค่า Guest User Access Control ใน Salesforce Experience Cloud ของคุณโดยด่วน โดยเฉพาะ Endpoint /s/sfsites/aura และดูคำแนะนำอย่างเป็นทางการจาก Salesforce Security ที่ Trust.Salesforce.com
แหล่งอ้างอิง:
- BleepingComputer — ShinyHunters claims ongoing Salesforce Aura data theft attacks
- Help Net Security — ShinyHunters claims new campaign targeting Salesforce Experience Cloud
- Salesforce Ben — ShinyHunters Breach 400 Companies via Salesforce Experience Cloud
- The Register — ShinyHunters claims yet another Salesforce customers breach
- Hackread — ShinyHunters Hackers Threaten 400 Firms Over Stolen Salesforce Data
เผยแพร่บน: gawao.com | Security, Data Breach, Salesforce | 16 มีนาคม 2026
