A gigante francesa da moda, Chanel, confirmou ser a mais recente empresa de alto perfil a sofrer uma fuga de dados, inserida numa contínua onda de ataques que visam roubar informação de clientes através da plataforma Salesforce. A falha de segurança foi detetada pela primeira vez a 25 de julho, depois de atacantes terem conseguido aceder a uma base de dados da Chanel alojada num fornecedor de serviços externo, conforme avançado inicialmente pela WWD.
A violação afetou exclusivamente clientes nos Estados Unidos e expôs informações de contacto pessoal. “Com base nas conclusões da investigação, os dados obtidos pela entidade externa não autorizada continham detalhes limitados de um subconjunto de indivíduos que contactaram o nosso centro de atendimento ao cliente nos EUA — especificamente nome, endereço de e-mail, morada e número de telemóvel”, afirmou um porta-voz da marca. Nenhuma outra informação estava contida na base de dados e os clientes afetados já foram informados.
Como é que o ataque aconteceu?
Embora a Chanel não tenha especificado o nome do fornecedor externo, a investigação atribuiu este incidente à campanha de roubo de dados conduzida pelo grupo de extorsão ShinyHunters.
Estes atacantes têm visado ativamente clientes da Salesforce através de ataques de vishing (phishing por voz). O objetivo é comprometer as credenciais dos funcionários ou enganá-los para que autorizem uma aplicação OAuth maliciosa no portal Salesforce da sua organização. Uma vez obtido o acesso, os atacantes extraem a base de dados e utilizam-na para exigir um resgate às empresas vítimas.
Salesforce nega falhas na sua plataforma
Numa declaração, a Salesforce fez questão de sublinhar que a sua plataforma não foi comprometida e que estes incidentes se devem a ataques de engenharia social direcionados aos seus clientes.
“A Salesforce não foi comprometida e os problemas descritos não se devem a nenhuma vulnerabilidade conhecida na nossa plataforma. Embora a Salesforce incorpore segurança de nível empresarial em tudo o que fazemos, os clientes também desempenham um papel crítico na proteção dos seus dados”, afirmou a empresa. A tecnológica incentiva todos os utilizadores a adotar as melhores práticas de segurança, como a autenticação multifator (MFA) e a gestão cuidadosa de aplicações conectadas, partilhando mais informações no seu blog oficial.
Chanel não está sozinha nesta onda de ataques
Até ao momento, os dados roubados em nenhum dos casos foram divulgados publicamente, com os atacantes a optarem por extorquir as empresas afetadas através de email.
Outras companhias de renome impactadas por esta mesma onda de ataques incluem a Adidas, a companhia aérea Qantas, a Allianz Life e outras marcas do grupo LVMH, como a Louis Vuitton, Dior e Tiffany & Co. Acredita-se que mais empresas tenham sido vítimas, mas ainda não divulgaram publicamente os ataques.
(TT)