文章总结： Grubhub确认遭ShinyHunters入侵，黑客利用2025年Salesforce旧泄露凭证复用攻击Zendesk客服平台，窃取并勒索两份数据；公司称未波及财务与订单，已报案并引入第三方应急，提醒所有受SalesloftDrift事件影响企业立即轮换OAuth令牌与云密钥以防连锁泄露。 综合评分： 82 文章分类： 数据泄露,应急响应,漏洞分析,威胁情报,安全运营

外卖平台惨遭黑手！系 Salesforce 系统数据泄露蝴蝶效应

HackerNews HackerNews

安全威胁纵横

2026年1月16日 15:05 湖北

高危漏洞

紧急修复指南

RCE Patch

食品配送平台Grubhub确认在黑客入侵后发生了数据泄露事件，消息人士告诉BleepingComputer，该公司目前正面临高价勒索。

推测e

1

事件详情

“近期，我们获悉有未经授权的个人从Grubhub某些系统下载了数据”，Grubhub告诉BleepingComputer。“我们迅速展开调查，阻止了该活动，并正采取措施进一步加强自身的安全防护体系。本次事件未涉及财务信息、订单记录等敏感数据。”

Grubhub拒绝回应关于此次泄露事件的任何进一步问题，包括事件发生时间、是否涉及客户数据、或是否遭到勒索。不过该公司证实，目前已与第三方网络安全公司展开合作，并已向执法部门报案。

上月，Grubhub也曾卷入从其b.grubhub.com子域名发送的一波诈骗邮件，邮件以“比特币投资可获十倍回报”为诱饵推广加密货币骗局。

当时Grubhub曾表示已控制住事态，并采取措施防止未授权邮件的再次发送，但同样拒绝就该诈骗事件的更多细节作出回应。目前暂无法确认这两起事件是否存在关联。

尽Grubhub拒绝透露更多细节，但多个消息来源已告诉BleepingComputer，此次事件的幕后黑手是网络犯罪团伙 ShinyHunters，该团伙正以此对Grubhub实施勒索。

据消息人士透露，威胁行为者要求支付比特币赎金，否则就将公开两份数据：一份是 2025 年 2 月该公司发生的Salesforce系统数据泄露事件中被盗取的历史数据，另一份则是本次新泄露的Zendesk平台数据。Zendesk是Grubhub的线上客服聊天平台，该平台主要用于处理订单咨询、账户问题及账单相关服务。

02

攻击路径

目前此次数据泄露的具体时间仍不明确，但BleepingComputer透露，黑客利用了近期Salesloft Drift数据失窃事件中被盗取的机密信息和登录凭证实施了本次攻击。

2025年8月8日至18日期间，黑客利用窃取的Salesloft公司Salesforce集成功能OAuth令牌，发起了一轮大规模数据窃取行动。

Mandiant的报告显示，被窃取的数据随后被用来收集凭证和密钥，以对其他平台进行后续攻击。“GTIG观察到UNC6395以敏感凭证为目标，例如亚马逊网络服务访问密钥、密码和Snowflake相关的访问令牌，”谷歌报告称。

谷歌方面指出：“谷歌威胁情报团队观察到，黑客组织UNC6395正紧盯各类高敏感凭证信息，包括亚马逊云服务访问密钥、各类密码，以及雪花云数据平台相关的访问令牌。”

ShinyHunters当时声称是此次泄露事件的幕后黑手，表示他们从760家公司的“账户”、“联系人”、“案例”、“商机”和“用户”Salesforce对象表中窃取了约15亿条数据记录。

威胁行为者滥用先前窃取的Salesforce数据来实施后续攻击，所有受到Salesloft Drift数据泄露事件波及的企业，若尚未更换相关访问令牌及机密信息，应立即完成更新操作。

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://www.bleepingcomputer.com/news/security/grubhub-confirms-hackers-stole-data-in-recent-security-breach/

更多网络安全视频，请关注视频号“知道创宇404实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews HackerNews《外卖平台惨遭黑手！系 Salesforce 系统数据泄露蝴蝶效应》