حمله به Salesforce منجر به افشای اطلاعات ۱.۱ میلیون کاربر Farmers Insurance شد

نشت داده در Farmers Insurance پس از حملات گسترده به Salesforce؛ بیش از ۱.۱ میلیون مشتری تحت تأثیر قرار گرفتند

شرکت بیمه‌ای Farmers Insurance، یکی از بزرگ‌ترین ارائه‌دهندگان بیمه در ایالات متحده، افشای یک data breach را تأیید کرده است که اطلاعات شخصی بیش از ۱.۱ میلیون مشتری این شرکت را تحت تأثیر قرار داده است. بر اساس اطلاعات به‌دست‌آمده توسط BleepingComputer، این داده‌ها در جریان حملات گسترده به Salesforce به سرقت رفته‌اند.

Farmers Insurance در اطلاعیه‌ای در وب‌سایت خود اعلام کرد که پایگاه داده یک third-party vendor در تاریخ ۲۹ می ۲۰۲۵ دچار رخنه امنیتی شده است. روز بعد، این تأمین‌کننده با استفاده از monitoring tools فعالیت‌های مشکوک را شناسایی و اقدام به مسدودسازی دسترسی غیرمجاز کرد. پس از اطلاع‌رسانی به Farmers، این شرکت یک تحقیق جامع را آغاز کرد و موضوع را به مقامات قانونی اطلاع داد.

بر اساس نتایج تحقیقات، داده‌های سرقت‌شده شامل نام، آدرس، تاریخ تولد، شماره گواهینامه رانندگی و/یا چهار رقم آخر شماره تأمین اجتماعی (SSN) مشتریان بوده است.

Farmers از تاریخ ۲۲ آگوست ۲۰۲۵ ارسال data breach notifications به افراد آسیب‌دیده را آغاز کرده و اعلام کرده است که در مجموع ۱,۱۱۱,۳۸۶ مشتری تحت تأثیر این رخنه قرار گرفته‌اند.

هرچند Farmers نام third-party vendor را افشا نکرده است، اما منابع BleepingComputer تأیید کرده‌اند که این رخنه مرتبط با Salesforce data theft attacks است؛ مجموعه‌ای از حملات که امسال سازمان‌های متعددی از جمله Google، Cisco، Workday، Adidas، Qantas، Allianz Life و شرکت‌های زیرمجموعه LVMH مانند Louis Vuitton، Dior و Tiffany & Co را نیز هدف قرار داده است.

جزئیات حملات Salesforce

از ابتدای سال، گروه‌های تهدید موسوم به UNC6040 یا UNC6240 حملات social engineering علیه مشتریان Salesforce را آغاز کرده‌اند. مهاجمان در این حملات از روش voice phishing (vishing) برای فریب کارکنان استفاده کرده و آن‌ها را وادار می‌کنند تا یک malicious OAuth app را به سامانه Salesforce سازمان خود متصل کنند.

پس از برقراری این اتصال، مهاجمان توانسته‌اند پایگاه‌های داده را download و exfiltrate کنند و سپس از طریق ایمیل شرکت‌ها را برای دریافت باج تحت فشار قرار دهند.

به گفته ShinyHunters، این حملات توسط چندین گروه هم‌پوشان انجام می‌شود؛ گروه‌هایی که هر یک بخشی از فرآیند نفوذ، dump و exfiltration داده‌های Salesforce CRM instances را بر عهده دارند. این گروه تأکید کرده است که همانند حمله به Snowflake، نقش آن‌ها در این کمپین دریافت دسترسی اولیه و سرقت داده‌ها بوده است.