Google bevestigt Salesforce-datalek door ShinyHunters via Vishing-zwendel

In een recente onthulling heeft Google bevestigd dat een bekende cybercriminele organisatie een van zijn interne databases heeft gehackt. De Google Threat Intelligence Group (GTIC), die al onderzoek deed naar de activiteiten van de groep ShinyHunters (of UNC6040), maakte bekend dat in juni toegang was verkregen tot zijn eigen Salesforce-database. De aanval legde informatie bloot die toebehoorde aan Googles kleine en middelgrote zakelijke klanten.

Het bedrijf verklaarde dat de inbreuk snel was ingedamd en dat de hackers slechts "een korte tijd" toegang hadden. De gestolen gegevens werden omschreven als "basis en grotendeels openbaar", bestaande uit bedrijfsnamen, contactgegevens en enkele gerelateerde aantekeningen. Hoewel Google de volledige omvang van de inbreuk niet bekendmaakte, onderstreept het incident een groeiende bezorgdheid over de beveiliging van alle bedrijven, inclusief technologiegiganten.

Deze aanval was geen traditionele hack die misbruik maakte van een softwarefout, maar een geavanceerde social engineering- truc. De hackers gebruikten een methode genaamd vishing (voice phishing), waarbij ze zich tijdens een telefoongesprek voordeden als IT-medewerkers van een bedrijf.

Tijdens het gesprek misleidden ze een Google-medewerker om een kwaadaardige applicatie, vermomd als een legitieme tool, goed te keuren: de Salesforce Data Loader. Deze frauduleuze app gaf de hackers toegang tot de database, waardoor ze informatie konden stelen.

Volgens onderzoek van de Google Threat Intelligence Group (GTIG) is UNC6040 verantwoordelijk voor de inbraken, terwijl een aparte groep, UNC6240, de afpersing afhandelt en binnen 72 uur Bitcoin-betalingen eist. Het bedrijf waarschuwt ook dat hackers hun tools hebben bijgewerkt en mogelijk van plan zijn een Data Leak Site (DLS) te lanceren om slachtoffers onder druk te zetten.

"Het nieuws dat Google te maken heeft gehad met een datalek tijdens de recente golf van aanvallen uitgevoerd door ShinyHunters, onderstreept dat geen enkele organisatie immuun is voor cybercriminaliteit " , aldus William Wright , CEO van Closed Door Security. "Het maakt niet uit of u een klein bedrijf bent of een van 's werelds toonaangevende technologiebedrijven, alle organisaties zijn kwetsbaar. "

Hij benadrukte ook dat het trainen van werknemers en het gebruik van MFA essentieel zijn om deze aanvallen in een vroeg stadium te blokkeren.

Deze inbreuk maakt deel uit van een bredere reeks aanvallen door de ShinyHunters-groep. Hackread.com heeft het afgelopen jaar melding gemaakt van de betrokkenheid van de groep bij verschillende spraakmakende incidenten, waaronder een grootschalige inbreuk bij Santander Bank in mei 2024 en een andere bij Ticketmaster , die wereldwijd meer dan 560 miljoen klanten trof.

De dreiging is nog steeds actief, aangezien luxe modemerk Chanel onlangs aankondigde dat het in juli te maken kreeg met een datalek, waarbij een aantal van zijn Amerikaanse klanten via een externe Salesforce-database werd getroffen. Google waarschuwt er ook voor dat ShinyHunters mogelijk van plan is zijn activiteiten te intensiveren door een openbare website over datalekken te lanceren.

Google heeft naar aanleiding van de aanval direct actie ondernomen om zijn systemen te beveiligen en de getroffen klanten te waarschuwen. Het bedrijf adviseert andere bedrijven ook om hun verdediging te versterken met betere training van medewerkers, multifactorauthenticatie en strengere toegangscontroles om soortgelijke social engineering-aanvallen te voorkomen.