Google bestätigt Salesforce-Datenleck durch ShinyHunters über Vishing-Betrug

Google hat kürzlich bestätigt, dass eine seiner internen Datenbanken von einer bekannten Cyberkriminellen-Organisation angegriffen wurde. Die Google Threat Intelligence Group (GTIC), die bereits die Aktivitäten der als ShinyHunters (oder UNC6040) bekannten Gruppe untersuchte, gab bekannt, dass im Juni auf die Salesforce-Datenbank des Unternehmens zugegriffen wurde. Durch den Angriff wurden Informationen von Googles kleinen und mittelständischen Geschäftskunden offengelegt.

Das Unternehmen gab an, dass der Datendiebstahl schnell eingedämmt wurde und die Hacker nur für einen kurzen Zeitraum Zugriff hatten. Die gestohlenen Daten wurden als „grundlegend und größtenteils öffentlich zugänglich“ beschrieben und umfassten Firmennamen, Kontaktdaten und einige zugehörige Notizen. Obwohl Google das volle Ausmaß des Datendiebstahls nicht bekannt gab, verdeutlicht der Vorfall die wachsenden Sicherheitsbedenken aller Unternehmen, einschließlich der Technologieriesen.

Bei diesem Angriff handelte es sich nicht um einen herkömmlichen Hackerangriff, bei dem eine Software-Schwachstelle ausgenutzt wurde, sondern um ein ausgeklügeltes Social-Engineering- System. Die Hacker nutzten eine Methode namens Vishing (Voice Phishing), bei der sie sich in einem Telefongespräch als IT-Support-Mitarbeiter eines Unternehmens ausgaben.

Während des Anrufs brachten sie einen Google-Mitarbeiter dazu, eine als legitimes Tool getarnte Schadanwendung zu genehmigen: den Salesforce Data Loader. Diese betrügerische App gewährte den Hackern Zugriff auf die Datenbank und ermöglichte ihnen so, Informationen zu stehlen.

Laut einer Untersuchung der Google Threat Intelligence Group (GTIG) ist UNC6040 für die Angriffe verantwortlich, während eine separate Gruppe, UNC6240, für die Erpressung zuständig ist und Bitcoin-Zahlungen innerhalb von 72 Stunden fordert. Das Unternehmen warnt außerdem, dass Hacker ihre Tools aktualisiert haben und möglicherweise planen, eine Data Leak Site (DLS) zu starten, um Druck auf die Opfer auszuüben.

„Die Nachricht, dass Google im Zuge der jüngsten Angriffswelle von ShinyHunters einen Datendiebstahl erlitten hat, unterstreicht, dass kein Unternehmen vor Cyberkriminalität gefeit ist “ , sagte William Wright , CEO von Closed Door Security. „Ob kleines Unternehmen oder eines der weltweit führenden Technologieunternehmen – alle Unternehmen sind anfällig. “

Er betonte außerdem, dass die Schulung der Mitarbeiter und der Einsatz von MFA der Schlüssel zur Blockierung dieser Angriffe im Frühstadium seien.

Dieser Datendiebstahl ist Teil einer größeren Angriffswelle der ShinyHunters-Gruppe. Im vergangenen Jahr berichtete Hackread.com über die Verbindungen der Gruppe zu mehreren spektakulären Vorfällen, darunter ein massiver Datendiebstahl bei der Santander Bank im Mai 2024 und ein weiterer bei Ticketmaster , von dem weltweit über 560 Millionen Kunden betroffen waren.

Die Bedrohung ist weiterhin aktiv. Auch die Luxusmodemarke Chanel gab kürzlich bekannt, dass im Juli ein Datenleck aufgetreten sei, das einige ihrer US-Kunden über eine Salesforce-Datenbank eines Drittanbieters betraf. Googles Bericht warnt zudem, dass ShinyHunters seine Aktivitäten möglicherweise durch die Einrichtung einer öffentlichen Datenleck-Website ausweiten will.

Google reagierte nach eigenen Angaben sofort auf den Angriff, um seine Systeme zu sichern und betroffene Kunden zu benachrichtigen. Das Unternehmen rät auch anderen Unternehmen, ihre Abwehrmaßnahmen durch bessere Mitarbeiterschulungen, Multi-Faktor-Authentifizierung und strengere Zugriffskontrollen zu stärken, um ähnliche Social-Engineering-Angriffe zu verhindern.