กลุ่มแฮกเกอร์ชื่อดัง “Scattered LAPSUS$ Hunters” ได้สร้างเว็บไซต์บนดาร์กเว็บเพื่อขู่เผยแพร่ข้อมูลกว่า 1 พันล้านเรคคอร์ด ที่อ้างว่าได้ขโมยมาจากบริษัทต่างๆ ที่ใช้บริการคลาวด์ดาต้าเบสของ Salesforce การโจมตีครั้งนี้นับเป็นอีกหนึ่งเหตุการณ์ที่สร้างความกังวลให้กับวงการเทคโนโลยีอย่างมาก เนื่องจากข้อมูลที่ถูกขโมยมีจำนวนมหาศาลและส่งผลกระทบต่อบริษัทชั้นนำหลายแห่งทั่วโลก
แฮกเกอร์กลุ่มใหญ่รวมตัวเพื่อขู่เอาเงิน
กลุ่มแฮกเกอร์ที่อยู่เบื้องหลังการโจมตีครั้งนี้ เป็นการรวมตัวของแฮกเกอร์กลุ่มใหญ่หลายกลุ่ม ได้แก่ Lapsus$, Scattered Spider และ ShinyHunters ซึ่งเป็นกลุ่มที่มีชื่อเสียงในวงการไซเบอร์คริมมินัล ที่น่าสนใจคือ กลุ่มแฮกเกอร์เหล่านี้เพิ่งประกาศ “เกษียณ” จากการทำงานไซเบอร์คริมมินัลไปเมื่อไม่กี่สัปดาห์ที่ผ่านมา แต่กลับมาปรากฏตัวอีกครั้งด้วยการโจมตีครั้งใหญ่นี้
เว็บไซต์ที่แฮกเกอร์สร้างขึ้นมีข้อความขู่ว่า “Contact us to regain control on data governance and prevent public disclosure of your data. Do not be the next headline” พร้อมกำหนดเวลาเส้นตายให้เป็นวันที่ 10 ตุลาคม 2025 หากไม่ได้รับการเจรจาค่าไถ่ แฮกเกอร์จะเริ่มเผยแพร่ข้อมูลของเหยื่อต่อสาธารณะ
บริษัทดังหลายแห่งตกเป็นเหยื่อ
รายชื่อเหยื่อของการโจมตีครั้งนี้ครอบคลุมบริษัทชั้นนำจากหลายอุตสาหกรรม โดยมีบริษัทที่ยืนยันการถูกโจมตีแล้ว เช่น บริษัทประกันภัย Allianz Life, Google, สายการบิน Qantas และผู้ผลิตรถยนต์ Stellantis นอกจากนี้ยังมีบริษัทใหญ่อื่นๆ ที่ปรากฏในรายชื่อ เช่น FedEx, Disney/Hulu, Home Depot, Toyota, McDonald’s, Cisco และแบรนด์หรูหราอย่าง Cartier, Dior, Louis Vuitton และ Tiffany & Co.
ที่น่าสนใจคือแม้แต่บริษัทด้านความปลอดภัยไซเบอร์ก็ตกเป็นเหยื่อเช่นกัน รวมถึง Zscaler, Palo Alto Networks, Cloudflare, Proofpoint และ Qualys ซึ่งเป็นเรื่องที่สร้างความกังวลอย่างมากเพราะบริษัทเหล่านี้เป็นผู้เชี่ยวชาญด้านความปลอดภัยเอง
วิธีการโจมตีแบบไม่ต้องแฮก Salesforce โดยตรง
สิ่งที่น่าสนใจของการโจมตีครั้งนี้คือ แฮกเกอร์ไม่ได้โจมตี Salesforce โดยตรง แต่ใช้เทคนิคที่เรียกว่า “vishing” (Voice Phishing) ซึ่งเป็นการหลอกลวงผ่านทางโทรศัพท์โดยแสดงตัวเป็นพนักงานเพื่อหลอกให้ IT Help Desk เปิดช่องทางเข้าถึงข้อมูล นอกจากนี้ยังใช้การโกง OAuth tokens ผ่านแอปพลิเคชันของบุคคลที่สาม โดยเฉพาะ Salesloft Drift ซึ่งเป็นเครื่องมือ AI chatbot ที่ใช้ในกระบวนการขาย
เทคนิคนี้ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลใน Salesforce ของลูกค้าได้โดยไม่ต้องโจมตีตัวแพลตฟอร์มหลักของ Salesforce เลย ซึ่งเป็นเหตุผลที่ Salesforce ยืนยันว่าระบบหลักของพวกเขาไม่ได้ถูกบุกรุก
Salesforce ปฏิเสธการถูกแฮก แต่ยอมรับเรื่องขู่เอาเงิน
Salesforce ได้ออกแถลงการณ์ยืนยันว่าไม่มีหลักฐานใดที่แสดงว่าแพลตฟอร์มหลักของพวกเขาถูกบุกรุก โดยโฆษกหญิง Nicole Aranda กล่าวว่า “Our findings indicate these attempts relate to past or unsubstantiated incidents, and we remain engaged with affected customers to provide support. At this time, there is no indication that the Salesforce platform has been compromised, nor is this activity related to any known vulnerability in our technology”
บริษัทยังเน้นย้ำว่าพวกเขาทราบเรื่องการขู่เอาเงินจากกลุ่มแฮกเกอร์และได้ทำการสอบสวนร่วมกับผู้เชี่ยวชาญภายนอกและหน่วยงานที่เกี่ยวข้อง พร้อมทั้งให้การสนับสนุนลูกค้าที่ได้รับผลกระทบ
ผลกระทบต่อความไว้วางใจและห่วงโซ่อุปทาน
เหตุการณ์นี้สร้างผลกระทบร้ายแรงต่อความไว้วางใจในระบบคลาวด์ เนื่องจากข้อมูลของบริษัทด้านความปลอดภัยไซเบอร์ชั้นนำหลายแห่งถูกขโมยไป ซึ่งส่งผลต่อความเชื่อมั่นในห่วงโซ่อุปทานของความปลอดภัยไซเบอร์ทั้งระบบ นอกจากนี้ยังเป็นการเตือนให้องค์กรต่างๆ ตระหนักถึงความเสี่ยงจากการใช้แอปพลิเคชันของบุคคลที่สามที่เชื่อมต่อกับระบบคลาวด์หลัก
FBI ได้ออกคำเตือน FLASH alert เมื่อวันที่ 12 กันยายน 2025 หลังจากเหตุการณ์โจมตี Salesforce หลายครั้ง เพื่อแจ้งเตือนและแบ่งปันข้อมูลเกี่ยวกับตัวชี้วัดการถูกโจมตี
มุมมองและผลกระทบในอนาคต
การโจมตีครั้งนี้เป็นสัญญาณเตือนที่สำคัญสำหรับวงการเทคโนโลยี โดยเฉพาะการใช้บริการคลาวด์และการรวมแอปพลิเคชันต่างๆ เข้าด้วยกัน องค์กรต่างๆ จำเป็นต้องเสริมสร้างความปลอดภัยในการใช้แอปพลิเคชันของบุคคลที่สาม และฝึกอบรมพนักงานให้ระวังเทคนิค Social Engineering มากขึ้น
นอกจากนี้ เหตุการณ์นี้ยังเป็นการทดสอบความเข้มแข็งของกฎหมายคุ้มครองข้อมูลส่วนบุคคล เช่น GDPR ซึ่งอาจนำไปสู่การฟ้องร้องและการจ่ายค่าปรับที่สูง สำหรับผู้ใช้บริการทั่วไป ควรติดตามข่าวสารจากบริษัทที่ใช้บริการเพื่อดูว่าข้อมูลส่วนตัวของตนได้รับผลกระทบหรือไม่ และควรเปลี่ยนรหัสผ่านในระบบที่สำคัญๆ เป็นระยะ
