Salesforce mengonfirmasi bahwa perusahaan tidak akan membayar uang tebusan kepada kelompok peretas di balik gelombang besar serangan pencurian data yang menimpa banyak pelanggan korporatnya sepanjang tahun 2025.
Langkah ini diumumkan melalui email resmi kepada pelanggan pada Selasa (7 Oktober 2025), di mana Salesforce juga memperingatkan bahwa intelijen kredibel menunjukkan para pelaku berencana membocorkan data yang dicuri ke publik.
“Saya dapat mengonfirmasi bahwa Salesforce tidak akan bernegosiasi, berinteraksi, atau membayar permintaan pemerasan apa pun,” ujar perwakilan Salesforce kepada BleepingComputer.
💥 Serangan Besar oleh “Scattered Lapsus$ Hunters”
Serangan ini dikaitkan dengan kelompok Scattered Lapsus$ Hunters, yang baru-baru ini meluncurkan situs kebocoran data di domain breachforums[.]hn — situs yang meniru nama BreachForums, forum terkenal yang biasa digunakan untuk menjual dan membocorkan data curian.
Di situs tersebut, kelompok ini mengklaim sedang memeras 39 perusahaan besar yang datanya dicuri melalui sistem Salesforce.
Beberapa nama besar yang disebut di antaranya:
- FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, McDonald’s, Chanel, Adidas, Air France–KLM, Gap, Cartier, IKEA, dan Walgreens.
Para pelaku mengklaim telah mencuri hampir 1 miliar data rekaman pelanggan, dan menuntut tebusan baik dari masing-masing perusahaan maupun dari Salesforce secara langsung untuk mencegah publikasi data tersebut.
🔍 Dua Kampanye Serangan Berbeda
1️⃣ Kampanye pertama (akhir 2024)
Dimulai dengan serangan rekayasa sosial (social engineering), di mana pelaku menyamar sebagai staf IT dan menipu karyawan agar menghubungkan aplikasi OAuth berbahaya ke instance Salesforce perusahaan.
Melalui koneksi tersebut, pelaku dapat mengunduh dan mencuri database pelanggan, lalu memeras perusahaan melalui email.
Perusahaan yang terdampak termasuk Google, Cisco, Qantas, Adidas, Allianz Life, Farmers Insurance, Workday, Kering, dan LVMH (Dior, Louis Vuitton, Tiffany & Co.).
2️⃣ Kampanye kedua (Agustus 2025)
Serangan terbaru memanfaatkan token OAuth curian dari platform SalesLoft dan Drift untuk menembus lingkungan CRM pelanggan Salesforce.
Fokus serangan adalah mencuri data tiket dukungan (support tickets) guna menemukan API token, kredensial, dan data autentikasi sensitif yang bisa digunakan untuk menembus sistem internal perusahaan lain.
Menurut salah satu pelaku dari kelompok ShinyHunters, mereka berhasil mencuri sekitar 1,5 miliar data dari lebih dari 760 perusahaan dalam kampanye ini.
Beberapa korban yang telah mengonfirmasi terkena dampak termasuk Google, Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks, dan Palo Alto Networks.
🕵️ FBI Diduga Sita Situs Pemerasan
Situs kebocoran data tersebut kini tidak dapat diakses. Domain breachforums[.]hn dilaporkan menggunakan nameserver Cloudflare yang sebelumnya juga digunakan FBI dalam penyitaan situs kejahatan siber.
Meski demikian, hingga berita ini ditulis, FBI belum memberikan konfirmasi resmi apakah mereka memang telah menyita domain tersebut.
⚖️ Langkah Tegas Salesforce
Dengan menolak membayar tebusan, Salesforce mengikuti kebijakan keamanan siber global yang melarang pembayaran kepada pelaku pemerasan digital (ransomware/extortion group) karena dapat memicu lebih banyak serangan serupa.
Keputusan ini juga menunjukkan komitmen Salesforce untuk tidak tunduk pada tekanan eksternal, meskipun data pelanggan dalam jumlah besar terancam bocor ke publik.
🧩 Ringkasan
| Aspek | Detail |
|---|---|
| Perusahaan | Salesforce |
| Kelompok Penyerang | Scattered Lapsus$ Hunters (berafiliasi dengan ShinyHunters) |
| Jenis Serangan | Pencurian data + pemerasan (extortion) |
| Total Data Dicuri | ±1 miliar rekaman (dari 39 perusahaan besar) |
| Kampanye | 2 gelombang serangan (2024–2025) |
| Teknik | Social engineering + OAuth abuse (SalesLoft & Drift) |
| Situs Pemerasan | breachforums[.]hn (kemungkinan disita FBI) |
| Sikap Salesforce | Tidak membayar atau bernegosiasi |
| Dampak Global | Ratusan perusahaan besar terdampak |
Sumber: Salesforce, Bloomberg, BleepingComputer