Hacker Quét Hàng Loạt Hệ Thống Salesforce - Dữ Liệu Khách Hàng Đứng Trước Nguy Cơ Bị Vét Sạch
Salesforce vừa phát đi cảnh báo khẩn cấp về sự gia tăng đột biến của các nhóm tin tặc đang tích cực dò quét và khai thác các lỗ hổng cấu hình trên nền tảng Experience Cloud (các trang web dành cho khách hàng/đối tác). Chúng đang sử dụng một vũ khí tự động để hút sạch thông tin liên lạc của người dùng.
.png "Hacker Quét Hàng Loạt Hệ Thống Salesforce - Dữ Liệu Khách Hàng Đứng Trước Nguy Cơ Bị Vét Sạch")
Khi công cụ "Mũ trắng" bị biến thành "Vũ khí"
Nền tảng của cuộc tấn công này xoay quanh một công cụ nguồn mở có tên là AuraInspector (vừa được Mandiant của Google phát hành hồi tháng 1/2026). Ban đầu, đây là một công cụ tốt, giúp các chuyên gia bảo mật kiểm tra xem hệ thống Salesforce có bị thiết lập sai quyền hạn hay không.
Tuy nhiên, tin tặc đã "độ chế" lại AuraInspector:
-
Phiên bản gốc (Người tốt): Chỉ dừng ở mức phát hiện và cảnh báo lỗ hổng trên các điểm cuối API.
-
Phiên bản tùy chỉnh (Hacker): Không chỉ tìm kiếm, công cụ này được lập trình để trực tiếp trích xuất và đánh cắp dữ liệu một cách tự động khi phát hiện khe hở.
Khe hở đến từ đâu? Sự bất cẩn trong cấu hình!
Salesforce khẳng định đây KHÔNG PHẢI là lỗi phần mềm (Zero-day) của nền tảng. Lỗi hoàn toàn nằm ở phía doanh nghiệp khi cấu hình sai tính năng Guest User Profile (Hồ sơ người dùng khách).
Các trang web Experience Cloud (như trang Hỏi đáp FAQ, trang đích sự kiện, cổng thông tin hỗ trợ) thường cho phép người lạ truy cập mà không cần đăng nhập. Tuy nhiên, nếu quản trị viên vô tình cấp quá nhiều quyền cho nhóm "Guest" này, tin tặc có thể dùng công cụ AuraInspector giả mạo làm khách vãng lai, lách qua cổng API và "vét" sạch dữ liệu ẩn bên trong hệ thống mà đáng lẽ chỉ nhân viên nội bộ mới được xem.
Hậu quả: Mồi lửa cho các cuộc tấn công lừa đảo (Vishing)
Dữ liệu bị rò rỉ trong chiến dịch quét này thường là Họ tên, Địa chỉ email, và Số điện thoại của khách hàng hoặc nhân viên.
Tin tặc không lập tức tống tiền doanh nghiệp. Thay vào đó, chúng sử dụng kho dữ liệu khổng lồ này để thực hiện các chiến dịch Vishing (Lừa đảo qua cuộc gọi thoại - Voice Phishing) hoặc Kỹ thuật xã hội (Social Engineering) cực kỳ tinh vi, nhắm thẳng vào khách hàng của bạn dưới danh nghĩa nhân viên hỗ trợ của công ty.
3 Bước "Cấp cứu" ngay cho Quản trị viên Salesforce
Nếu doanh nghiệp của bạn đang dùng Experience Cloud, đừng chủ quan. Hãy thực hiện ngay cuộc thanh tra quyền hạn (Audit) với 3 nguyên tắc sau:
-
Thiết lập quyền "Private" mặc định: Đảm bảo rằng cài đặt Default External Access (Quyền truy cập bên ngoài mặc định) cho tất cả các đối tượng dữ liệu quan trọng đều được đặt thành Private (Riêng tư), thay vì Public Read/Write.
-
Khóa chặt API công khai: Vô hiệu hóa quyền truy cập của Guest User vào các API công khai nếu trang web của bạn không thực sự cần tính năng đó để hoạt động.
-
Giới hạn tầm nhìn (Visibility): Siết chặt các quy tắc chia sẻ (Sharing Rules) để đảm bảo người dùng khách (Guest) tuyệt đối không thể liệt kê hay xem được danh sách các thành viên trong tổ chức nội bộ của bạn.
Bảo mật đám mây là trách nhiệm chung. Nền tảng có thể an toàn, nhưng chiếc chìa khóa và cách khóa cửa lại nằm trong tay chính doanh nghiệp của bạn.
Hương - Theo TheHackerNews
.png)
.png)
.png)
.png)
