Nhà cung cấp phần mềm doanh nghiệp hàng đầu, Workday, đã tiết lộ một **sự cố bảo mật** đáng kể dẫn đến **rò rỉ dữ liệu Workday** của khách hàng. Sự việc này xảy ra thông qua một **ứng dụng bên thứ ba** bị xâm nhập, ảnh hưởng đến thông tin liên hệ kinh doanh và chi tiết các trường hợp hỗ trợ.

Phân Tích Diễn Biến Sự Cố và Nguồn Gốc Tấn Công

Vào ngày 23 tháng 8 năm 2025, Workday đã phát hiện một lỗ hổng bảo mật nghiêm trọng trong ứng dụng Drift của Salesloft. Đây là một công cụ của bên thứ ba được tích hợp với các hệ thống Salesforce của Workday.

Ngay lập tức, công ty quản lý tài chính và nguồn nhân lực dựa trên đám mây này đã ngắt kết nối ứng dụng bị xâm nhập và vô hiệu hóa tất cả các token liên quan. Biện pháp này nhằm ngăn chặn truy cập trái phép tiếp theo.

Cơ Chế Khai Thác

Sự cố bảo mật bắt nguồn khi các tác nhân đe dọa thành công xâm nhập vào hệ thống của Salesloft và đánh cắp các thông tin xác thực OAuth. Sau đó, chúng đã sử dụng các thông tin này để thực hiện tìm kiếm trái phép trong môi trường Salesforce của khách hàng Workday.

Salesloft đã xác nhận những phát hiện này vào ngày 26 tháng 8 năm 2025, thông qua một tuyên bố chính thức được công bố trên trang web tin cậy của họ.

Cuộc điều tra của Workday, với sự hỗ trợ từ một công ty pháp y bên ngoài, đã xác định rằng kẻ tấn công đã truy cập vào một tập hợp dữ liệu hạn chế từ môi trường Salesforce của công ty.

Phạm Vi Dữ Liệu Bị Ảnh Hưởng từ Rò Rỉ Dữ Liệu Workday

Thông tin bị xâm phạm bao gồm nhiều loại dữ liệu kinh doanh và hỗ trợ khách hàng. Mức độ tác động được đánh giá dựa trên các loại dữ liệu cụ thể đã bị lộ.

Chi Tiết Dữ Liệu Bị Lộ

• Thông tin liên hệ kinh doanh của khách hàng.
• Thông tin cơ bản về trường hợp hỗ trợ khách hàng.
• Các thuộc tính liên quan đến tenant, bao gồm tên và vị trí trung tâm dữ liệu.
• Thông tin về sản phẩm và dịch vụ.
• Hồ sơ các khóa đào tạo và chứng chỉ.
• Nhật ký sự kiện hệ thống.

Mặc dù xảy ra **rò rỉ dữ liệu Workday**, công ty đã khẳng định rằng các tác nhân đe dọa không thể truy cập trực tiếp vào các tenant của khách hàng thông qua kết nối Drift. Điều này là một điểm quan trọng, giảm thiểu rủi ro trực tiếp đến các hệ thống cốt lõi của khách hàng.

Dữ Liệu Không Bị Ảnh Hưởng và Rủi Ro Tiềm Tàng

Cuộc điều tra pháp y của Workday đã xác minh rằng các tệp bên ngoài được lưu trữ trong Salesforce, bao gồm hợp đồng, biểu mẫu đặt hàng và tệp đính kèm của khách hàng được gửi qua các trường hợp hỗ trợ, vẫn được bảo mật và không thể truy cập được đối với kẻ tấn công.

Tuy nhiên, Workday thừa nhận rằng các trường hợp hỗ trợ của Salesforce có thể chứa văn bản từ các phiếu hỗ trợ khách hàng. Những văn bản này có khả năng bao gồm thông tin nhạy cảm, mặc dù chính sách của công ty đã khuyến cáo không chia sẻ thông tin xác thực trong các cuộc giao tiếp hỗ trợ.

Phản Ứng và Khuyến Nghị Về An Toàn Thông Tin

Workday đang tiến hành một đánh giá toàn diện tất cả các trường hợp bị ảnh hưởng và sẽ trực tiếp thông báo cho khách hàng nếu phát hiện thông tin nhạy cảm cụ thể liên quan đến tài khoản của họ. Công ty luôn ưu tiên sự minh bạch trong quá trình xử lý rò rỉ dữ liệu Workday này.

Biện Pháp Khắc Phục Khẩn Cấp

Để ứng phó với sự cố, Workday đang kêu gọi tất cả khách hàng ngay lập tức xoay vòng bất kỳ thông tin xác thực nào có thể đã được chia sẻ qua các trường hợp hỗ trợ. Đây là một biện pháp phòng ngừa cần thiết để bảo vệ **bảo mật thông tin** cá nhân và doanh nghiệp.

Thực Tiễn Tốt Nhất Về Bảo Mật Thông Tin Được Khuyến Nghị

Công ty đã đưa ra một số thực tiễn tốt nhất về bảo mật, nhằm tăng cường khả năng phòng vệ trước các cuộc tấn công tương tự trong tương lai:

• Triển khai xác thực đa yếu tố (MFA) cho tất cả các tài khoản. MFA cung cấp một lớp bảo vệ bổ sung đáng kể.
• Yêu cầu xác thực tăng cường (step-up authentication) đối với các hoạt động nhạy cảm.
• Thực hiện đào tạo nâng cao nhận thức về lừa đảo (phishing) thường xuyên cho người dùng.
• Giám sát hoạt động của người dùng với các thông báo cho những thay đổi thông tin nhạy cảm.

Workday nhấn mạnh rằng sự tin cậy và minh bạch vẫn là trọng tâm trong hoạt động của họ, đồng thời gửi lời xin lỗi về bất kỳ sự bất tiện nào do **sự cố bảo mật** này gây ra. Công ty tiếp tục làm việc với các chuyên gia an ninh mạng để đảm bảo tính toàn vẹn hệ thống hoàn chỉnh và ngăn chặn các lỗ hổng **ứng dụng bên thứ ba** tương tự ảnh hưởng đến cơ sở hạ tầng của họ trong tương lai. Để biết thêm thông tin chi tiết từ nguồn gốc, độc giả có thể tham khảo trực tiếp bài đăng của Workday: Workday’s Response to Salesloft Drift Security Incident.