IT之家10月8日消息，客户关系管理巨头Salesforce已正式确认，针对今年对其客户发起大规模数据盗窃攻击的网络威胁组织，公司将坚持不谈判、不支付任何赎金的立场。

据彭博社报道，Salesforce于周二向客户发送电子邮件，明确传达了拒绝支付赎金的决定，并警示称根据"可信的威胁情报"，攻击者正计划公开泄露所窃取的数据。该公司随后向BleepingComputer进一步证实："我可以确认，Salesforce不会与任何勒索方接触、谈判或满足其勒索要求。"

这一表态紧随一个名为"ScatteredLapsus$Hunters"的黑客组织建立数据泄露网站之后。该组织正试图对39家数据遭窃企业实施勒索，其运营的泄露网站托管于breachforums[.]hn域名下——该域名源自臭名昭著的黑客论坛BreachForums，该论坛素以买卖和泄露被盗数据而闻名业内。

IT之家注意到，泄露网站上列出的勒索目标涵盖众多全球知名品牌及机构，包括联邦快递（FedEx）、迪士尼/Hulu、家得宝（HomeDepot）、万豪国际（Marriott）、谷歌（Google）、思科（Cisco）、丰田（Toyota）、盖璞（Gap）、开云集团（Kering）、麦当劳（McDonald's）、沃尔格林（Walgreens）、Instacart、卡地亚（Cartier）、阿迪达斯（Adidas）、萨克斯第五大道（SaksFifthAvenue）、法航-荷航集团（AirFrance&KLM）、环联（TransUnion）、HBOMAX、联合包裹（UPS）、香奈儿（Chanel）以及宜家（IKEA）等。

该黑客组织声称，此次共窃取近10亿条数据记录，并威胁称若相关企业未单独支付赎金，或Salesforce未统一支付覆盖所有受影响客户的赎金，他们将逐步公开这些数据。

据悉，这些被盗数据源自2025年针对Salesforce系统的两起独立攻击行动：

第一波攻击（始于2024年底）：攻击者通过社会工程手段冒充IT技术支持人员，诱骗企业员工将恶意OAuth应用连接至公司Salesforce系统。获得授权后，攻击者利用该权限下载窃取数据库，并通过电子邮件对企业实施勒索。此次攻击影响的企业包括谷歌、思科、澳洲航空（Qantas）、阿迪达斯、安联人寿（AllianzLife）、农夫保险（FarmersInsurance）、Workday、开云集团（Kering），以及LVMH集团旗下迪奥（Dior）、路易威登（LouisVuitton）和蒂芙尼（Tiffany&Co.）等子公司。

第二波攻击（始于2025年8月初）：攻击者利用从SalesLoftDrift平台窃取的OAuth令牌，横向渗透至其客户的CRM环境并实施数据外泄。此次供应链攻击主要聚焦于窃取客户支持工单数据，从中扫描提取登录凭证、API密钥、身份验证令牌及其他敏感信息，以进一步入侵企业内部基础设施和云服务系统。据参与此次攻击的黑客组织成员"ShinyHunters"向BleepingComputer透露，该攻击共窃取超过760家企业的约15亿条数据记录。

目前已有谷歌、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、CatoNetworks、PaloAltoNetworks等多家企业确认受到SalesLoft供应链攻击的影响。

值得关注的是，近期上线的数据泄露网站最初主要用于勒索第一波社会工程攻击的受害者，攻击者曾宣称将于10月10日后开始公开SalesLoft攻击影响企业的数据。但截至目前，该数据泄露网站已被关闭，其域名当前使用的DNS服务器为surina.ns.cloudflare.com和hans.ns.cloudflare.com——这两个IP地址此前曾被美国联邦调查局（FBI）用于查封非法域名。

BleepingComputer已就此次域名是否由FBI查封联系相关部门，但截至发稿尚未收到回应。