La empresa Workday reconoció que atacantes accedieron a su plataforma CRM externa y expusieron información de contactos comerciales, en una campaña que ya ha comprometido a organizaciones como Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co., Chanel e incluso Google.
El grupo de extorsión ShinyHunters, conocido por múltiples ataques de alto perfil, estaría detrás de la reciente violación de datos que afectó a Workday, compañía de software de recursos humanos con sede en Pleasanton, en el estado de California. El incidente forma parte de una campaña más amplia contra instancias de Salesforce CRM, que ya ha comprometido a organizaciones como Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co., Chanel e incluso Google.
Los ataques comenzaron a principios de este año mediante técnicas de ingeniería social. Según investigadores, los ciberdelincuentes engañaron a empleados de las empresas objetivo para que vincularan aplicaciones OAuth maliciosas a sus plataformas Salesforce. Una vez establecida la conexión, los atacantes descargaron bases de datos completas y posteriormente iniciaron campañas de extorsión por correo electrónico.
En el caso de Workday, la compañía admitió que el ataque se descubrió el pasado 6 de agosto y que los intrusos obtuvieron acceso a su plataforma CRM externa. “Queremos informarles sobre una reciente campaña de ingeniería social dirigida a muchas grandes organizaciones, incluyendo Workday”, señaló la empresa en un comunicado publicado en su blog. Desde la empresa agregaron que “no hay indicios de acceso a los datos de los clientes ni a sus inquilinos”.
No obstante, la entidad reconoció que sí se expuso información de contactos comerciales. “El tipo de información que obtuvo el actor fue principalmente información de contacto comercial comúnmente disponible, como nombres, direcciones de correo electrónico y números de teléfono, potencialmente para promover sus estafas de ingeniería social”, explicó Workday.
La empresa precisó que los atacantes utilizaron mensajes de texto y llamadas telefónicas para hacerse pasar por personal de Recursos Humanos o del área de TI, con el objetivo de engañar a empleados y obtener acceso adicional. La compañía cuenta actualmente con más de 19 mil empleados y una cartera de 11 mil clientes en sectores estratégicos, incluidos más del 60% de las compañías del Fortune 500.
Aunque Workday evitó confirmar públicamente la vinculación directa con Salesforce, fuentes consultadas por medios especializados de ciberseguridad indicaron que el ataque está relacionado con la campaña en curso atribuida al grupo cibercriminal ShinyHunters.
Un portavoz de Workday reiteró que lo comprometido corresponde únicamente a datos de contacto y que los sistemas centrales de clientes permanecen seguros. Sin embargo, expertos alertan que incluso este tipo de información puede servir como base para nuevos ataques de phishing y fraudes dirigidos, incrementando la exposición de las víctimas.