Hacker behaupten: "Wir haben 1,5 Milliarden Salesforce-Datensätze"
19. September 2025 um 13:14
Die Gruppe Shinyhunters scheint über die Angriffe auf Salesforce-Instanzen an eine grosse Datenmenge gelangt zu sein.
Die Hackergruppe Shinyhunters behauptet, weltweit 760 Unternehmen kompromittiert zu haben. Die Angriffe auf Salesforce-Instanzen wurden zuerst über Social Engineering, dann durch kompromittierte OAuth-Token über die Applikation Salesloft Drift durchgeführt. Dazu bekannt hat sich neben Shinyhunters auch die Gruppe Scattered Spiders. Von Security-Experten werden sie unter den Bezeichnungen UNC6040 respektive UNC6395 verfolgt.
Bereits ab Oktober 2024 begannen die Cyberkriminellen, sich mittels Social Engineering Zugang zu Salesforce-Userkonten zu beschaffen. In einer weiteren Angriffswelle erfolgten dann im August 2025 die Kompromittierungen über die Drift-Applikation. Danach begannen sie, die gehackten Unternehmen zu kontaktieren und Lösegeld zu verlangen, damit die gestohlenen Daten nicht veröffentlicht werden.
Dem Cybersecurity-Magazin 'Bleeping Computer' ist es offenbar gelungen, mit Shinyhunters in Kontakt zu treten. Die Gruppe teilte dem Magazin mit, dass sie das Sicherheitstool Trufflehog verwendet hätte, um den Quellcode zu durchsuchen, was zum Auffinden von OAuth-Token für die Plattformen Salesloft Drift und Drift E-Mail geführt habe.
Mithilfe der gestohlenen OAuth-Token sei es Shinyhunters gelungen, rund 1,5 Milliarden Datensätze von kompromittierten Unternehmen zu stehlen. Diese seien aus den Salesforce-Objekttabellen "Account", "Contact", "Case", "Opportunity" und "User" abgegriffen worden. Als Beweis dafür, dass sie hinter dem Angriff stecke, habe die Gruppe eine Textdatei mit einer Liste der Quellcode-Ordner im gehackten Salesloft-Github-Repository mit 'Bleeping Computer' geteilt.
Zu den Opfern der Salesforce-Angriffswellen gehören auch zahlreiche prominente Tech-Unternehmen wie Google, Palo Alto Networks, Nutanix, Proofpoint, Tenable oder Zscaler. Vor wenigen Tagen warnte das FBI, dass die Cyberangriffe auf Salesforce-Kunden möglicherweise ein noch viel grösseres Ausmass haben, als bisher angenommen.
Loading
Oracle-Schwachstelle wird aktiv angegriffen
Eine Sicherheitslücke in Oracle Weblogic Server wird laut CISA aktiv für Angriffe missbraucht. Erfolgreiche Attacken können zu unbefugtem Zugriff auf sensible Daten führen.
Belimed ist Opfer eines Cyberangriffs
Aus IT-Systemen des Medizintechnikkonzerns hat eine kriminelle Hackergruppe Daten kopiert. Die Geschäftstätigkeit der Kundinnen und Kunden war allerdings nicht beeinträchtigt, so Belimed.
Bundesamt macht Vorschläge zu M365-Absicherung
Bei der Absicherung schützenswerter Daten gehe nichts über On-Premises, so das Bundesamt für Cybersicherheit. Andernfalls hilft nur die Verschlüsselung.