ShinyHunters stjæler 1,5 milliarder datarecords fra Salesforce

Eskil Sørensen

09.19.2025 11:01

Storskalaudnyttelse af OAuth-integrationsflader afslører systemiske svagheder i Salesforce-økosystemet.

Et af de mest omfattende datatyverier i nyere tid er nu blevet afsløret. Det handler om en trusselsaktørgruppe, ShinyHunters, der hævder at have stjålet over 1,5 milliarder Salesforce-poster fra 760 virksomheder.

Det skriver Bleeping Computer.

Angrebet blev udført ved hjælp af kompromitterede OAuth-tokens fra Salesloft Drift og Drift Email, som integrerer med Salesforce CRM-systemer.

Tilsyneladende har trusselsaktører i de senere år haft et godt øje til Salesforce-kunder og tilnærmet sig dem gennem social engineering og ondsindede OAuth-applikationer, hvilket har givet dem adgang til følsomme CRM-data. De kompromitterede tokens blev fundet via sikkerhedsværktøjet TruffleHog, som blev brugt til at scanne Saleslofts private GitHub-repository for hemmeligheder.

I denne spektakulære sag omfatter de stjålne data:

579 mio. kontaktposter
459 mio. supportsager (Case)
250 mio. konti (Account)
171 mio. salgsoplysninger (Opportunity)
60 mio. brugerdata

Det fremgår, at særligt Case-tabellen indeholder tekst fra kundesupportsager, som for teknologivirksomheder kan inkludere meget følsomme oplysninger.

Angrebet er ikke tilskrevet ShinyHunters, men også Scattered Spider og Lapsus$, som angiveligt nu opererer under navnet "Scattered Lapsus$ Hunters". Ifølge Google Threat Intelligence (Mandiant) har aktørerne analyseret de stjålne data for skjulte legitimationsoplysninger, såsom AWS-nøgler, adgangskoder og Snowflake-tokens, med henblik på pivotering til yderligere kompromittering.

Flere prominente virksomheder er også blevet ramt, herunder Google, Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks og Palo Alto Networks, fremgår det.

Har de ikke trukket sig tilbage?

Det særligt interessante ved denne sag er, at Scattered Spider, ShinyHunters og Lapsus$ m.fl. netop her i september har annonceret deres tilbagetrækning, mens høsten af data fra Salesforce angiveligt fandt sted i august i år.

En tilbagetrækning harmonerer på den ene side dårligt med, at gruppen skal til at kapitalisere på et stort kup. På den anden side kan den spektakulære sag få gruppen til at føle jorden brænde under sig, hvilket har tvunget den til at annoncere sin tilbagetrækning.

Eller også har gruppen faktisk nået at videresælge data fra Salesforce-kuppet, der gør, at den rent faktisk kan trække sig tilbage med de ord, som fremgik af deres tilbagetrækningsmeddelelsel: ”Hvis du bekymrer dig om os, lad være … [vi] vil nyde vores gyldne faldskærme”.

Det er svært at vide, hvad man skal tro på.

Læs mere

https://www.bleepingcomputer.com/news/security/shinyhunters-claims-15-billion-salesforce-records-stolen-in-drift-hacks/

Sikkerhedshændelse