2025年堪称时尚业和奢侈品牌的网络安全灾年，香奈儿（Chanel）近日曝光成为最新受害者：一场针对Salesforce平台的黑客攻击暴露了其客户数据库，再次暴露了时尚业数字生态隐藏的安全隐患。

香奈儿成为 Salesforce数据泄漏最新受害者

据WWD报道，法国时尚巨头香奈儿于2025年7月25日首次检测到该次安全事件。攻击者通过第三方服务商的香奈儿客户数据库发起入侵。虽未披露具体厂商名称，但已证实数据源自香奈儿的Salesforce系统。

这次事件仅影响美国地区客户，泄露信息包括：姓名、邮箱、邮寄地址与电话号码等有限的联系方式，未涉及信用卡、账户密码、交易记录等敏感信息。香奈儿方面已向受影响用户发出了通知。

ShinyHunters操刀，社工诱导入侵模式抬头

调查显示，本次入侵事件属于正在蔓延的Salesforce数据盗窃攻击浪潮，主使者为臭名昭著的勒索组织“ShinyHunters”或其关联团体UNC6040/UNC6240。他们利用语音诱导策略，以“IT支持人员”的身份拨打目标公司员工电话，诱骗对方访问Salesforce的connected app授权页面，并授权他们植入恶意OAuth应用，从而取得后台访问权限，并导出客户数据。

在成功授权后，攻击者悄无声息地将CRM “Contacts”、“Accounts” 等关键表格数据导出，并以此为筹码进行邮件勒索。尽管目前尚未有公司公开数据泄露，但已收到勒索邮件威胁。

不只是香奈儿：时尚巨头纷纷中招

香奈儿并非孤例。2025年包括阿迪达斯（Adidas）、澳洲航空（Qantas）、Allianz Life、以及LVMH旗下的Louis Vuitton、Dior、Tiffany&Co.在内的多个国际品牌也已确认受到类似入侵影响，并正在进行数据泄露调查以及可能的司法与客户通知过程。

这些公司数据均来源于第三方CRM或云平台实例，且尚未全部确认是否为 Salesforce，但多数迹象表明入侵方式高度一致，无疑是同一波攻击浪潮所致。

安全漏洞在云端？Salesforce平台无漏洞，却成为“钓鱼”重灾区

多方声明均强调：Salesforce平台本身没有被入侵，也不存在已知漏洞。这些事件源自客户账户被社会工程破解，而非平台本身遭到技术弱点攻击。

Salesforce官方呼吁客户加强安全措施，包括：

• 启用多因素认证（MFA），

• 严格遵循最小权限原则授予应用及用户权限，

• 管理连接的应用，尤其是OAuth应用授权审核，

• 启用IP访问白名单，

• 部署Salesforce Shield等高级监控防护工具

时尚业应战：安全意识与云安全管理同步升级迫在眉睫

香奈儿事件暴露的并非简单资讯泄露，而是一场针对企业客户服务流程的深层次社会工程战术。它提醒时尚、零售等重CRM行业：

• 第三方服务商与连接应用 是潜在高危入口；

• 电话诱导（vishing）、OAuth滥用成攻击新趋势；

• 对美区客户数据的保护存在明显短板。

针对这一威胁趋势，建议时尚企业从安全文化到技术体系同步升级：

• 加强员工安全意识培训：尤其是客服、IT支持和授权人员；

• 严格审批Connected App权限，尤其对Data Loader、第三方OAuth应用；

• 强化OAuth风险监控，发现不明连接请求要及时阻断；

• 细化安全模型：将MFA、最小权限、IP限制和访问审计结合纳入常规流程。

结语

随着云服务彻底渗透时尚业，香奈儿遭遇的这场Salesforce数据盗窃事件，揭示了一个更深层次的问题：在高端品牌构筑数字化客户管理生态的同时，如果不重构云安全治理与员工防骗安全意识体系，就可能被社会工程攻击者一招致命。

面对勒索软件攻击浪潮与越来越复杂的社会工程战术，时尚界的安全团队必须醒悟：保护品牌的不仅是产品设计的精致与服务体验的高端，更是每一个云端服务的安全措施。

参考链接：

https://wwd.com/business-news/retail/chanel-data-break-u-s-client-database-1238026491/

生物技术巨头因美纳被指虚假宣称其检测设备符合政府安全标准，但实际上存在大量安全漏洞。

安全内参8月5日消息，美国生物技术公司因美纳（Illumina）已同意向美国政府支付980万美元（约合人民币7042万元），以解决其涉嫌向政府出售存在安全漏洞的基因检测系统一事。该公司明知系统存在漏洞，却未加以修复。

内部人举报因美纳

故意销售有漏洞产品

7月31日，美国司法部宣布达成和解协议，以回应一名内部举报人提出的指控。举报人称，在过去七年多的时间里，因美纳持续向政府销售其明知存在安全隐患的DNA检测设备。在此期间，因美纳向多个政府机构提交了大量发票，要求为这些声称符合网络安全标准、实则未达标的设备付款。因此，因美纳被认定为构成“提交虚假申报材料”的违法行为。

美国卫生与公众服务部监察长办公室的特别探员负责人Roberto Coviello在一份声明中表示：“未能遵守必要的网络安全标准可能造成严重后果，尤其是在处理敏感基因组数据的系统中。”

根据2023年提交的初始投诉，因美纳的系统储存着患者的机密基因检测结果，而该公司无视已知问题、未遵守安全规定，使这些数据面临潜在泄露风险。不过，投诉中并未指出已有实际数据泄露事件发生。

尽管如此，美国司法部在2023年指出，因美纳“在争夺并维持全球基因检测市场主导地位的过程中，完全忽视网络安全要求”，并允许多个已知问题出现在量产设备中。

因美纳并非一家无足轻重的小公司。根据投诉，因美纳控制着全球超过80%的基因检测市场。这意味着，如果你曾在医院接受过基因检测，你的样本很可能是通过因美纳的设备完成的。

投诉中特别指出多个关键问题，包括：用户账号权限设置不当、设备中硬编码存储用户凭据、以及未有效应对内部威胁风险。投诉中还提到，相关软件问题曾导致两次产品召回，分别发生在2022年和2023年4月，而美国司法部指出，直到2023年9月提交投诉时，这些问题仍未解决。

美国司法部在2023年指出：“目前市面上的因美纳产品仍存在严重的网络安全漏洞，威胁检测数据的完整性，并损害患者隐私。”“本案正是司法部依托其民事网络欺诈倡议，并依据虚假申报法所要打击的典型欺诈行为。”

此次赔偿对因美纳影响有限

因美纳方面并未承认政府的相关指控。该公司告诉外媒The Register，其同意和解是“为避免诉讼所带来的不确定性、成本与干扰”。这种表述在类似案件中较为常见。因美纳还补充称，相关软件问题已于2022年至2024年间得到修复。

该公司一位发言人表示：“政府机构是我们重要的客户，因美纳非常重视这类合作关系。我们高度重视数据安全，并已在产品开发与部署过程中投入大量资源，以确保符合网络安全最佳实践。我们很高兴能够翻开新的一页。”

尽管The Register并未质疑因美纳在安全方面的承诺，但仍指出了一起未在此次诉讼中提及的网络安全问题。

The Register在今年1月曾报道，因美纳的iSeq 100 DNA测序仪出厂时搭载了一个已有6年历史、易受恶意软件和勒索软件攻击，甚至可能导致设备变砖的BIOS。该设备出厂时未启用安全启动功能，几乎没有任何固件层面的保护措施，任何人都可以在不被察觉的情况下篡改底层代码。因美纳当时回应称，公司已建立监督与问责机制，以防此类问题再次发生。

这笔赔偿款对因美纳整体业务影响可能极为有限。根据投诉，因美纳通过向政府提供硬件、软件和服务所签订的合同，累计收入“至少达数亿美元”。该公司按计划于7月31日收盘后公布财报，其2025年第一季度净利润达到1.31亿美元。

参考资料：theregister.com

文章来源 ：GoUpSec、安全内参