物流科技公司Pitney Bowes近日成為黑客組織ShinyHunters新一輪勒索攻擊的受害者。該公司主要生產美國郵資機及相關郵寄技術產品。
數據泄露追蹤平台Have I Been Pwned(HIBP)於4月27日確認了此次泄露事件。泄露數據包含820萬個唯一郵件地址,同時還涉及姓名、電話號碼及實際地址等資訊。其中一小部分數據來自公司內部員工記錄,包含職位資訊。
《The Register》曾嘗試聯繫Pitney Bowes獲取更多資訊,但發送至其新聞專用郵箱的郵件均遭退回,投資者關係聯繫人雖處於活躍狀態,但截至發稿尚未回復。
Pitney Bowes雖非家喻戶曉的品牌,但它是一家實力雄厚的美國科技企業,其運輸軟體和郵寄技術廣泛應用於日常物流場景。該公司聲稱在全球擁有逾60萬客戶,2025年營收達19億美元。
ShinyHunters近期動作頻頻,HIBP持續追蹤並核實該組織的攻擊聲明。已確認的受害方包括《俠盜獵車手》開發商Rockstar Games和實體安防巨頭ADT,而該組織聲稱攻擊過的企業名單還要長得多。
僅在過去一周內,這個網路犯罪團伙就宣稱對Udemy、嘉年華郵輪以及亞洲足球聯合會發動了攻擊,據稱泄露了數萬名職業球員的個人資訊及證件掃描件。《The Register》已就此事向亞洲足球聯合會發出置評請求,但尚未收到回應。
在此輪攻擊浪潮之前,ShinyHunters還曾對交友平台Match Group和荷蘭電信運營商Odido發動攻擊。該組織還於今年3月向《The Register》透露,他們通過一次Salesforce漏洞入侵,獲取了近400家企業的數據。此外,ShinyHunters去年還參與了針對Salesloft Drift的大規模攻擊,並與Scattered Lapsus$ Hunters等其他犯罪團伙協同作案,2025年晚些時候又攻擊了數百家Salesforce客戶。
事後,Pitney Bowes向《The Register》表示,公司於4月9日"發現有人未經授權訪問了Salesforce客戶關係管理系統中的部分記錄",入侵發生於前一天夜間,"起因是一次網路釣魚攻擊,導致一名員工的郵件賬戶遭到入侵"。
該公司表示:"我們立即對相關環境進行了安全加固,撤銷了被入侵賬戶的訪問權限,並聘請了頂級網路安全專家和執法機構協助調查。"
Pitney Bowes確認:"受影響的記錄涉及企業客戶賬戶及聯繫人資訊。調查結果顯示,此次攻擊活動未擴散至Pitney Bowes的其他系統,也未發現敏感個人數據遭到訪問的跡象。我們已直接通知了受影響的企業客戶。"
針對ShinyHunters的威脅,該公司表示:"我們已獲悉某威脅行為者關於潛在數據泄露的聲明,正在與網路安全專家和執法機構協同開展積極調查,並將持續監控任何數據外泄的跡象。我們已實施額外的訪問控制措施,擴大了監控範圍,並正在開展有針對性的員工培訓。隨著調查推進,我們將就重要進展及時通知客戶。"
Q&A
Q1:Have I Been Pwned是什麼,它如何確認數據泄露?
A:Have I Been Pwned(HIBP)是一個專門追蹤數據泄露事件的平台,用戶可以通過輸入郵箱地址查詢自己的資訊是否出現在已知的泄露資料庫中。在Pitney Bowes事件中,HIBP於4月27日正式確認了此次泄露,核實了820萬個唯一郵件地址連同姓名、電話號碼和實際地址一同被包含在泄露數據中。
Q2:Pitney Bowes數據泄露是怎麼發生的?
A:此次泄露源於一次網路釣魚攻擊。攻擊者通過釣魚手段入侵了一名員工的郵件賬戶,進而在2025年4月8日夜間未經授權訪問了Pitney Bowes的Salesforce客戶關係管理系統,導致企業客戶賬戶及聯繫人相關記錄外泄。公司發現後立即封鎖了被入侵的訪問權限,並啟動了安全調查。
Q3:ShinyHunters是誰,他們還攻擊過哪些公司?
A:ShinyHunters是一個活躍的網路犯罪團伙,慣用"付錢或泄露數據"的勒索手段攻擊大型企業。近期已確認的受害方包括遊戲公司Rockstar Games、安防巨頭ADT、在線教育平台Udemy、嘉年華郵輪及亞洲足球聯合會等。此外,該組織還曾通過Salesforce漏洞入侵近400家企業,並參與了針對Match Group和荷蘭電信運營商Odido的攻擊。
