丹麦珠宝巨头Pandora近日通报,公司客户数据因持续性的Salesforce数据盗窃活动而被泄露。根据Pandora向用户发送的通知,未经授权的第三方通过其所用的第三方平台窃取了客户的联系信息,公司随即阻止了进一步的访问,并强化了安全防护措施。据报道,此次泄露涉及客户姓名、出生日期及邮箱地址,密码、身份证件和财务信息暂未受影响。
据了解,Pandora受影响的数据存储在其Salesforce数据库。自2025年初起,黑客通过社会工程与钓鱼攻击锁定多家企业,骗取员工权限或诱使其授权恶意OAuth应用,以窃取Salesforce数据库数据并敲诈企业。ShinyHunters等黑客组织向BleepingComputer证实正对相关企业进行私下勒索,并威胁将不付款企业的数据大规模出售或泄露。
Salesforce官方声明称,其平台并未遭受漏洞攻击,问题由企业安全防护不足引发,并提醒客户加强多因素认证和账户安全管控。目前,除了Pandora,Adidas、Qantas、Allianz Life及LVMH旗下多家公司均是类似攻击受害者。