Salesforce wydał kolejne ostrzeżenie dla klientów: znana grupa cyberprzestępcza ShinyHunters ogłosiła nową kampanię, obejmującą kradzież danych i wymuszenia.
Od połowy 2025 roku ShinyHunters atakują instancje Salesforce wielu organizacji, wykorzystując między innymi socjotechnikę.
Incydenty ujawnione w zeszłym roku doprowadziły do naruszenia bezpieczeństwa milionów rekordów danych, które zostały przejęte i ujawnione przez ShinyHunters.
Pisaliśmy o tym w artykule na temat naruszeń danych dotyczących francuskiego domu mody Chanel w sierpniu 2025 roku.
Według Salesforce wszystkie naruszenia danych były wynikiem phishingu, nadużyć związanych z integracjami zewnętrznych firm lub błędnych konfiguracji, a nie luk w produktach lub systemach firmy.
W poście na blogu opublikowanym 7 marca br. Salesforce ostrzegł klientów przed trwającymi atakami, wykorzystującymi błędne konfiguracje lub publicznie dostępne strony.
„Zidentyfikowaliśmy kampanię, w której złośliwi aktorzy wykorzystują zbyt liberalne konfiguracje gościa w Experience Cloud, co może umożliwić dostęp do większej ilości danych, niż organizacje docelowe zamierzały udostępnić” – poinformował Salesforce.
„Ważne jest, aby podkreślić, iż Salesforce pozostaje bezpieczny, a problem nie wynika z żadnej wrodzonej podatności naszej platformy. Dotychczasowe ustalenia naszego dochodzenia potwierdzają, iż aktywność ta jest związana z ustawieniem konta gościa skonfigurowanym przez klienta, a nie z błędem bezpieczeństwa platformy” – dodano.
Firma zauważyła również, iż sprawca zagrożenia wykorzystał zmodyfikowaną wersję narzędzia open source o nazwie Aura Inspector, które zostało opracowane przez Mandiant do audytowania instancji Salesforce Aura i identyfikowania ujawnień danych.
„Podczas gdy oryginalny Aura Inspector ogranicza się do identyfikowania podatnych obiektów poprzez sprawdzanie punktów końcowych API udostępnianych przez te strony (konkretnie endpoint /s/sfsites/aura), atakujący opracował własną wersję narzędzia, która potrafi nie tylko identyfikować podatności, ale także faktycznie wyciągać dane – wykorzystując zbyt szerokie uprawnienia użytkownika gościa” – wyjaśnił Salesforce.
Dostawca systemu CRM nie wskazał nazwy sprawcy, ale grupa ShinyHunters przyznała się do ataku, twierdząc, iż w ramach kampanii nazwanej przez nich „Salesforce Aura Campaign” zaatakowano kilkaset firm.
Hakerów z ShinyHunters opisywaliśmy już w naszym sierpniowym poście. Przypomnijmy: „Według Google Threat Intelligence grupa działa w ramach struktury UNC6040 i wyspecjalizowała się w atakach na środowiska chmurowe, w tym Salesforce. ShinyHunters łączą tradycyjne techniki phishingowe z bardziej zaawansowanymi formami manipulacji, takimi jak vishing, czyli socjotechnika realizowana przez rozmowy telefoniczne”.
Teraz gang zagroził opublikowaniem informacji skradzionych z instancji Salesforce firm, jeżeli te odmówią spełnienia ich żądań dotyczących okupu.