文章总结： 2026年3月，ShinyHunters黑客组织通过语音钓鱼诱导思科员工授权恶意OAuth令牌，利用SalesforceExperienceCloud配置错误渗透系统，窃取超300万条记录。泄露数据涉及FBI、NASA等多国政府机构人员信息，攻击者威胁在4月3日前公开数据。事件暴露思科在第三方应用授权和员工安全意识方面存在严重漏洞，建议企业清理不明插件、撤销异常令牌、加强员工防钓鱼培训。 综合评分： 85 文章分类： 数据泄露,漏洞分析,威胁情报,社会工程学,供应链安全

最后通牒：思科再陷数据泄露风暴 FBI NASA 等政府机构信息或已外泄

原创

ming ming

黑白之道

2026年4月3日 09:43 山东

导语： 2026 年 3 月，臭名昭著的数据勒索组织 ShinyHunters 再次将目标对准网络巨头思科（ Cisco ）。这一次，他们声称已成功渗透思科的 Salesforce CRM 系统、 GitHub 代码仓库和 AWS S3 存储桶，共窃取超过 300 万条包含敏感个人信息的记录。更令人担忧的是，泄露数据中甚至包括 FBI 、美国国土安全部（ DHS ）、美国国税局（ IRS ）、 NASA 以及澳大利亚国防部和印度政府机构的人员信息。黑客已发出“最后通牒”，要求思科在 4 月 3 日前与他们取得联系，否则将公开全部数据。这已是思科在不到两年时间内遭遇的第三起重大数据泄露事件。

本次攻击的幕后黑手是臭名昭著的ShinyHunters黑客组织。该组织自 2019 年左右兴起，目前已发展成为网络犯罪生态中最活跃的数据盗窃和勒索运营团队之一。安全研究人员追踪发现， ShinyHunters 还使用多个别名进行活动，包括UNC6040和UNC6395。

这个组织以什么德性闻名？——专挑大型企业下手，通过社会工程学和漏洞利用相结合的手段，一次性端掉数百家企业的数据。 2026 年 3 月，他们声称已通过利用 Salesforce Experience Cloud （ Aura ）配置错误的“访客访问权限”，成功入侵了300 至 400 家组织。而思科，只是其中最“耀眼”的目标。

根据 ShinyHunters 在其数据泄露网站上的公示，这次攻击的具体时间线如下：

•2026 年 3 月： ShinyHunters 开始对思科实施渗透攻击

•2026 年 3 月 31 日：攻击者更新泄露页面，标注数据记录数已超过300 万条

•2026 年 4 月 1 日：安全研究员 Dominic Alvieri 首次公开披露此事件

•最后通牒： 2026 年 4 月 3 日前，思科必须联系攻击者，否则数据将全面公开

截至目前（ 2026 年 4 月 2 日），思科尚未对此事发布正式公开回应。

根据威胁情报公司 Resecurity 公布的分析报告， ShinyHunters 声称从思科窃取的数据涵盖三大领域：

最敏感的信息：泄露数据中明确包含以下政府机构的人员记录：

•美国联邦调查局（ FBI ）

•美国国土安全部（ DHS ）

•美国国防信息系统局（ DISA ）

•美国国税局（ IRS ）

•美国国家航空航天局（ NASA ）

•澳大利亚国防部

•多个印度政府机构

这些数据很可能与这些机构采购或配置思科产品有关。对于攻击者而言，这类信息是策划精确钓鱼攻击、社会工程学攻击和供应链攻击的顶级筹码。

ShinyHunters 的攻击手段并非什么新鲜玩意儿，但之所以能屡屡得手，关键在于把简单的招数练到极致。下面拆解他们针对思科的完整攻击路径：

攻击链的起点，是一次典型的语音钓鱼攻击（ Vishing ）。

ShinyHunters 的 UNC6040 集群以欺骗客户支持员工著称——他们通过电话冒充技术支持人员，诱导思科员工通过OAuth 令牌授权恶意的第三方 Salesforce 应用程序。

这里有一个致命的细节：一旦 OAuth 访问被授予， MFA （双重验证）、密码重置和登录监控通通可以被绑过。因为这些令牌是由 Salesforce 原生签发的，在系统眼里，这就是“合法”访问。

社会工程学才是最高级的黑客技术——一个电话，一句“我是技术支持的”，足以让防御森严的企业壁垒从内部瓦解。

拿到 OAuth 访问权限后，攻击者并没有止步于一个普通的 Salesforce 账户。

2026 年 3 月， ShinyHunters 使用了一款名为AuraInspector的开源工具，自动化扫描 Salesforce Experience Cloud （ Aura ）中配置错误的“访客访问权限”。这个工具能够大规模扫描目标企业的 Salesforce 环境，快速定位那些被错误配置的访客用户访问控制——换句话说，就是找到那些本不该对外开放却敞开了大门的接口。

据报道， ShinyHunters 正是在这一波扫描中，成功渗透了300 至 400 家配置不当的 Salesforce 环境。

获得 Salesforce 访问权后，攻击者进入了横向移动阶段。

在后续阶段（归属为 UNC6395 ），攻击者将被窃取的令牌进一步武器化，用于提取各种机密凭据：

•AWS 访问密钥

•密码

•Snowflake 令牌

有了这些凭证，思科的云端世界彻底向他们敞开——AWS S3 存储桶、 GitHub 代码仓库，一切尽在掌握。

如果要评选“最不长记性的企业”，思科绝对榜上有名。这次的 ShinyHunters 攻击，并不是他们第一次“栽在这个坑里”。

2024 年 10 月，黑客IntelBroker声称从思科的公共面向DevHub 环境下载了4.5 TB的数据，包括：

•源代码

•硬编码凭据

•API 令牌

•AWS 私有存储桶

事后思科承认，虽然其核心系统未被攻破，但某些本应保持私有的文件因配置错误而被意外暴露。DevHub 配置错误——一个低级但致命的问题。

2025 年 8 月，思科披露了另一起独立的 CRM 数据泄露事件，同样通过语音钓鱼攻击实现。事后调查发现，攻击者与 ShinyHunters 组织存在关联。

而今， ShinyHunters 卷土重来，这次的攻击显然是之前漏洞的升级版或关联渗透。

讽刺的是： 2025 年 8 月的语音钓鱼事件才过去不到一年，思科的员工竟然再次倒在了同一种社会工程学攻击手法之下。这暴露了一个残酷现实——大型企业在清理第三方应用授权（ OAuth ）方面存在长期的安全盲区。

条条大路通 shell 。攻击者从不缺入口，缺的是防御者的警觉。

泄露数据中包含 FBI 、 DHS 、 NASA 等美国核心政府机构的人员信息——这意味着此事件已从单纯的商业勒索上升为潜在的国家安全威胁。

想象一下：如果这些数据落入敌对国家情报机构手中，会发生什么？针对性的鱼叉式钓鱼攻击、渗透特定官员的社会工程学、乃至更复杂的供应链攻击……后果不堪设想。

更令人不安的是源代码泄露的可能性。

如果思科的源代码被公开，全球数百万台运行思科系统的设备可能面临新的零日漏洞风险。攻击者可以分析源代码寻找未发现的漏洞，而这些漏洞的补丁——可能永远都不会及时发布。

这是典型的供应链攻击链：供应商沦陷，下游所有客户全部暴露。

针对 ShinyHunters 风格的攻击，以下是关键防御建议：

•清理企业 Salesforce 环境中不明来源的第三方插件

•撤销所有未被识别的 OAuth 令牌

•

定期审计已授权的应用程序

•

警惕 Salesforce Data Loader 的异常导出行为

•

部署针对 API 调用的异常检测告警

•

加强员工针对电话诱导授权的专项培训

•建立严格的内部验证流程，任何通过电话获取的授权请求必须二次确认

•

在全公司范围内推广“零信任”电话验证机制

•

对 AWS IAM 角色实施最小权限原则

•定期轮换访问密钥和令牌

•启用云环境的详细审计日志

距离黑客设定的最后期限（ 2026 年 4 月 3 日）已不到 24 小时，全球安全界正屏息以待，观察这家网络巨头将如何应对这场迫在眉睫的灾难。

讽刺的现实是： 2024 年 10 月 IntelBroker 的攻击仿佛昨日重现， 2025 年 8 月的语音钓鱼事件殷鉴不远，而 2026 年的今天，思科再次倒在了同样的攻击模式下。

漏洞只是症状，对安全的漠视才是病根。

截至目前，思科尚未对此事发布正式回应。我们将持续关注事态发展。

（本文参考资料来源： CybersecurityNews 、 Resecurity 威胁情报报告、安全研究员 Dominic Alvieri ）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 ming ming《最后通牒：思科再陷数据泄露风暴 FBI NASA 等政府机构信息或已外泄》