【安全资讯】ShinyHunters声称窃取Panera Bread等多家企业数据，涉及数百万用户记录

概要：

近期，知名勒索团伙ShinyHunters再次成为网络安全焦点，其声称成功入侵了包括Panera Bread、CarMax和Edmunds在内的多家知名企业，导致大规模数据泄露。这些事件不仅涉及海量用户个人身份信息（PII）被盗，更揭示了利用语音钓鱼（Vishing）技术窃取单点登录（SSO）凭证的新型攻击手法正在蔓延，对依赖云服务和身份验证平台的企业构成了严峻挑战。

主要内容：

ShinyHunters团伙声称，其通过获取Microsoft Entra的单点登录（SSO）代码，成功入侵了连锁烘焙咖啡馆Panera Bread的系统，窃取了超过1400万条记录，包括姓名、电子邮件、家庭住址、电话号码和账户详情。此外，该团伙还声称从二手车购买平台CarMax和车辆评测网站Edmunds窃取了类似类型的个人身份信息。这些数据泄露事件总计涉及数千万条用户记录。

攻击的核心技术手段是语音钓鱼（Vishing）。攻击者冒充IT支持人员，通过社会工程学电话诱导目标企业员工在伪造的Okta登录页面上输入凭证。结合实时钓鱼工具包，攻击者能够实时窃取密码并绕过用户的多因素身份验证（MFA）。这种手法在近期针对Crunchbase和Betterment的攻击中也被成功应用。

安全研究人员指出，ShinyHunters正在开展一场新的、持续性的攻击活动，目标可能涉及约100家组织。Mandiant的专家确认，他们正在追踪这一使用语音钓鱼技术窃取SSO凭证的“ShinyHunters品牌活动”。此次事件暴露了企业对第三方身份验证平台和员工安全意识培训的依赖所存在的风险，凸显了针对高级社会工程攻击进行防御的紧迫性。