Компания Workday, гигант в сфере управления персоналом, сообщила об утечке данных после того, как злоумышленники получили доступ к сторонней платформе управления взаимоотношениями с клиентами (CRM) при недавней атаке с использованием социальной инженерии.
Рабочий офис Workday находится в Плезантоне, штат Калифорния. В компании работает более 19 тысяч сотрудников в офисах по всей Северной Америке, в регионе EMEA и Азиатско-Тихоокеанском регионе. В списке клиентов Workday числится более 11 тысяч организаций из самых разных отраслей, включая более 60% компаний из списка Fortune 500.
Злоумышленники получили доступ к части информации, хранящейся во взломанных CRM-системах, но Workday заверила, что ни один клиент-клиент не пострадал. Однако в ходе инцидента была раскрыта некоторая контактная информация компании, включая данные клиентов, которые могут использоваться в последующих атаках.
«Злоумышленник получил в основном общедоступные контактные данные компании, такие как имена, адреса электронной почты и номера телефонов, потенциально для дальнейших мошеннических схем с использованием социальной инженерии», — добавили в Workday.
В отдельном уведомлении, отправленном потенциально пострадавшим клиентам, компания добавила, что утечка была обнаружена 6 августа.
По информации Workday, злоумышленники связываются с работниками посредством текстовых сообщений или по телефону, выдавая себя за сотрудников отдела кадров или IT-отдела. Они пытаются обманным путем получить доступ к аккаунту или личную информацию.
Представитель Workday сослался на публикацию в блоге компании, когда его попросили подтвердить, что злоумышленники взломали экземпляр Salesforce.
Хотя компания не подтвердила эту информацию напрямую, в BleepingComputer выяснили, что инцидент с Workday стал следствием нарушений правил безопасности, связанных с вымогательской группой ShinyHunters, которая атакует CRM-системы Salesforce с помощью социальной инженерии и голосового фишинга. Недавно в ходе этой кампании были взломаны системы многих других известных компаний по всему миру, включая Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co., Chanel и Google.
Предположительно, эти атаки начались в начале года. Злоумышленники обманным путем заставляли сотрудников жертв подключать вредоносное приложение OAuth к экземплярам Salesforce компании с помощью атак социальной инженерии.
После подключения злоумышленники использовали соединение для загрузки и кражи баз данных компаний, а затем применяли эти данные для вымогательства у жертв по электронной почте.
ShinyHunters связана с многочисленными громкими атаками, включая Snowflake, а также взломы AT&T и PowerSchool.
Источник: habr.com