本月初,谷歌证实其用于管理中小企业客户信息的CRM系统在今年6月遭遇网络攻击,导致部分客户数据泄露。谷歌称,攻击者仅在短时间内获取了企业名称、联系方式等基础商业信息。然而最新消息显示,部分Gmail账户已被利用泄露密码成功入侵,密码安全问题成为此次事件的关键因素之一。
Salesforce成攻击重灾区,多家知名企业接连中招
Salesforce作为全球领先的CRM服务商,服务覆盖制造、金融、零售、科技等多个行业,客户超15万家,广泛存储企业敏感数据。自今年7月以来,包括美国安联人寿在内的多家企业相继曝出数据泄露事件。黑客通过社会工程手段攻破其第三方CRM系统,导致约140万客户信息外泄。此外,香奈儿、潘多拉、阿迪达斯、思科、路易威登、迪奥、蒂芙尼等国际品牌也遭遇同类攻击。
“语音钓鱼”盛行,电话成突破口
攻击者主要采用“语音钓鱼”(Vishing)手法,冒充企业IT技术人员,通过电话诱骗员工授权访问Salesforce系统权限,进而窃取客户数据并实施勒索。此类攻击重点针对跨国公司中使用英语沟通的员工,隐蔽性强、成功率高。美国联邦调查局(FBI)已发布警示,提醒全球Gmail用户防范此类新型诈骗。
供应链风险激增,第三方成安全短板
谷歌指出,Salesforce系统被攻破后,关联的Gmail账户随之沦陷,而这些账户又成为进一步渗透其他客户系统的跳板。这暴露出云服务、软件供应商及供应链环节在整体安全体系中的脆弱性。Verizon《2025数据泄漏调查报告》(DBIR)显示,与第三方相关的数据泄露事件占比从2024年的15%上升至2025年的30%,翻倍增长。报告强调,若供应商在数据访问控制和凭证管理方面存在漏洞,将显著扩大组织的整体攻击面。
强化身份认证,推动全链路安全升级
为应对风险,谷歌已加强账户安全策略,推广非短信类双重身份验证(2FA),并将“通行密钥”(passkey)设为默认登录方式。建议用户立即采取以下措施:
- 使用独立密码管理器生成并保存强密码;
- 将2FA验证方式切换为Google Authenticator生成的动态口令;
- 优先启用passkey,并警惕即使看似官方邮件中的登录链接。
Passkey:基于标准的无密码认证方案
Passkey由FIDO联盟推出,基于FIDO2/WebAuthn标准,采用公钥加密机制,私钥本地存储于用户设备中,有效防止凭证被盗。该技术已被苹果、谷歌、微软等主流厂商支持,正逐步取代传统密码体系。
飞天诚信布局FIDO安全生态
自2017年与微软合作推出首个FIDO2生物识别认证方案以来,飞天诚信持续深耕“无密码”安全领域,构建全线通过FIDO认证的硬件安全密钥产品。其#BioPass FIDO2解决方案支持USB或NFC连接,集成指纹模组,实现快速安全登录。指纹数据全程在设备内部安全芯片中处理,确保“指纹不出设备”,即便设备丢失也不会造成生物信息泄露,满足NIST SP 800-63B AAL3最高安全等级要求。
网络安全是全链条责任
当攻击者用一通电话打开Salesforce、Gmail乃至整条供应链的大门,说明网络安全早已不是单个企业的孤立议题,而是环环相扣的系统工程。任何一个薄弱环节都可能让整个链条暴露于风险之中。#MFA虽非绝对安全,但仍是抵御钓鱼攻击的核心防线。如果企业自身部署了多因素认证,却忽视供应商、分包商和云服务商的弱口令问题,下一次数据泄露可能就在眼前。推动全供应链普及MFA,不仅是技术升级,更是新时代的商业契约——唯有人人持钥,方能家家平安。