Kořeny incidentu sahají do první poloviny roku 2025. Tehdy si bezpečnostní týmy všímaly drobných, těžko vysvětlitelných pokusů o přístup do systémů napojených na cloudové služby Salesforce.

Útočníci nešli přímo po samotné platformě – ta má pověst jedné z nejlépe zabezpečených na světě - ale po jejích integračních bodech, tedy po softwarových nástrojích, které s ní komunikují přes rozhraní API.

Právě zde se objevila zranitelnost v aplikaci Salesloft Drift, která slouží obchodním týmům k automatizaci kontaktů. V létě 2025 se hackerům podařilo získat OAuth tokeny a obnovovací klíče, díky nimž mohli „z venku“ volat rozhraní Salesforce klientů a tiše kopírovat jejich data - aniž by museli prolomit samotný systém.

Na první pohled šlo o drobnost. V praxi se však tahle nenápadná zranitelnost změnila ve vstupní bránu do světa korporátních dat. A jak se ukázalo, bránu dokořán otevřenou.

Srpen až říjen: tichá exploze dat

Podle bezpečnostních analytiků začala hlavní fáze útoku mezi 8. a 18. srpnem 2025. V té době už hackeři systematicky volali rozhraní API stovek firem a ukládali jejich záznamy na vlastní servery.
Zpočátku šlo jen o drobný nárůst provozu - většina firem netušila, že se děje něco mimořádného. Teprve zpětně se ukázalo, že šlo o koordinovanou akci, která trvala celé týdny.

Na přelomu září a října se objevila první veřejná stopa. Na dark webu se zčistajasna objevila stránka s logem Scattered LAPSUS$ Hunters. Hackeři zde tvrdili, že drží v rukou „největší únik dat v historii Salesforce“ - více než miliardu záznamů - a jsou připraveni je zveřejnit, pokud nedostanou výkupné ve výši jedné miliardy dolarů.

V textu, který se místy tvářil jako tisková zpráva, jindy jako mafiánské varování, stálo:
„Kontaktujte nás, abyste zabránili zveřejnění svých dat. Nečekejte, až se stanete titulní stránkou médií.“

Kdo všechno byl zasažen

Na seznamu zasažených se objevila jména, která běžně figurují na konferencích o kyberbezpečnosti – Cloudflare, Palo Alto Networks, Zscaler, Tenable, Disney, Cisco a další technologičtí i finanční giganti.
Jenže podle zjištění TechCrunchu chybí v tomto seznamu řada dalších organizací, o nichž se ví, že útok zasáhl i je. To vyvolalo spekulace, že některé společnosti už mohly s hackery tajně vyjednávat a možná i zaplatit.

Hackeři k tomu zareagovali lakonicky:
„Existuje mnoho dalších firem, které nejsou uvedeny.“
A tím vyvolali další paniku.

Salesforce: žádné prolomení, žádný problém?

Zatímco napadené firmy horečně prověřovaly svá data, Salesforce zůstával klidný.
Mluvčí společnosti prohlásil, že interní vyšetřování „nenaznačuje žádné prolomení platformy ani zneužití bezpečnostní chyby“. Podle jejich verze šlo o incident „týkající se třetích stran“ a samotná infrastruktura Salesforce prý kompromitována nebyla.

Tento výklad sice obstojí právně, ale nikoli morálně. V praxi totiž data unikla z ekosystému Salesforce, i když ne přímo ze serverů firmy. Rozdíl mezi tvrzením „nebyli jsme hacknuti“ a realitou „vaše data přes nás unikla“  tak působí spíš jako slovní gymnastika než skutečné vysvětlení.

Zdroj: Shutterstock

Vyjednávání ve stínu

Podle TechRadaru a Reuters se skupina začátkem října 2025 obrátila přímo na několik firem s nabídkou „diskrétního vyrovnání“.
V některých případech prý požadovali částky v řádu desítek milionů dolarů výměnou za smazání kopií dat.
Zároveň spustili druhou vlnu výhrůžek: Pokud firmy nezaplatí, zveřejní „vše, co se samy snaží tajit“.

Tím se útok proměnil v moderní formu kybernetického vydírání. Nejde už jen o peníze - jde i o mediální tlak a poškození reputace. Čím víc se o kauze píše, tím větší hodnotu mají hrozby hackerů.