El día de trabajo gigante de recursos humanos revela la violación de datos después del ataque de Salesforce

El día laboral del gigante de recursos humanos ha revelado una violación de datos después de que los atacantes obtuvieron acceso a una plataforma de gestión de relaciones con clientes (CRM) de terceros en un reciente ataque de ingeniería social.

Con sede en Pleasanton, California, Workday tiene más de 19,300 empleados en oficinas en América del Norte, EMEA y APJ. La lista de clientes de Workday comprende más de 11,000 organizaciones en una amplia gama de industrias, incluida más del 60% de las compañías Fortune 500.

Como la compañía reveló en un blog del viernes, los atacantes obtuvieron acceso a parte de la información almacenada en los sistemas CRM comprometidos, y agregó que ningún inquilino de clientes se vio afectado.

«Queremos informarle sobre una reciente campaña de ingeniería social dirigida a muchas organizaciones grandes, incluida la jornada laboral», dijo el gigante de recursos humanos. «Recientemente identificamos que Workday había sido atacado y los actores de amenaza pudieron acceder a alguna información desde nuestra plataforma CRM de terceros. No hay indicios de acceso a los inquilinos de los clientes o los datos dentro de ellos».

Sin embargo, cierta información de contacto comercial se expuso en el incidente, incluidos los datos del cliente que podrían usarse en ataques posteriores.

«El tipo de información que el actor obtuvo era principalmente información de contacto comercial disponible, como nombres, direcciones de correo electrónico y números de teléfono, potencialmente para promover sus estafas de ingeniería social», agregó.

En una notificación separada enviada a clientes potencialmente afectados y vistos por BleepingComuter, la compañía agregó que la violación se descubrió hace casi dos semanas, el 6 de agosto.

Workday agregó que los atacantes contactan a los empleados por mensaje de texto o teléfono, fingiendo ser de recursos humanos o de TI, en un intento de engañarlos para que revele acceso de cuenta o información personal.

Un portavoz de la jornada laboral hizo referencia a la publicación del blog del viernes de la compañía cuando se le pidió que confirmara que los atacantes violaron una instancia de Salesforce y describieron la naturaleza de la información expuesta como «información de contacto comercial comúnmente disponible».

Violado en los ataques de datos de datos de Salesforce

Si bien la compañía no lo confirmó directamente, BleepingComputer se enteró de que el incidente de la jornada laboral es parte de una ola de violaciones de seguridad vinculadas al grupo de extorsión Shinyhunters, que se dirige a las instancias de Salesforce CRM a través de la ingeniería social y los ataques de phishing de voz.

Otras otras compañías de alto perfil en todo el mundo también se violaron recientemente en esta campaña, incluidas Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co., Chanel y, más recientemente, Google.

Se cree que estos ataques comenzaron a principios de año, con los actores de amenaza engañando a los empleados de los objetivos para que vinculen una aplicación Maliciosa Oauth con las instancias de la fuerza de ventas de su empresa a través de ataques de ingeniería social.

Una vez vinculados, los atacantes usan la conexión para descargar y robar las bases de datos de las compañías, y los datos robados se utilizan más tarde para extorsionar a las víctimas por correo electrónico.

Las demandas de extorsión se firmaron como provenientes de Shinyhunters, un notorio grupo de extorsión vinculado a numerosos ataques de alto perfil a lo largo de los años, incluidos los ataques de copos de nieve y aquellos en contra de AT&T y Powerschool.

Actualización 18 de agosto, 05:39 EDT: Historia y título revisados Después de enterarse, esto también fue un ataque de robo de datos de Salesforce.