Die Hackergruppe Shinyhunters behauptet, weltweit 760 Unternehmen kompromittiert zu haben. Die Angriffe auf Salesforce-Instanzen wurden zuerst über Social Engineering, dann durch kompromittierte OAuth-Token über die Applikation Salesloft Drift durchgeführt. Dazu bekannt hat sich neben Shinyhunters auch die Gruppe Scattered Spiders. Von Security-Experten werden sie unter den Bezeichnungen UNC6040 respektive UNC6395 verfolgt.

Bereits ab Oktober 2024 begannen die Cyberkriminellen, sich mittels Social Engineering Zugang zu Salesforce-Userkonten zu beschaffen. In einer weiteren Angriffswelle erfolgten dann im August 2025 die Kompromittierungen über die Drift-Applikation. Danach begannen sie, die gehackten Unternehmen zu kontaktieren und Lösegeld zu verlangen, damit die gestohlenen Daten nicht veröffentlicht werden.

Dem Cybersecurity-Magazin 'Bleeping Computer' ist es offenbar gelungen, mit Shinyhunters in Kontakt zu treten. Die Gruppe teilte dem Magazin mit, dass sie das Sicherheitstool Trufflehog verwendet hätte, um den Quellcode zu durchsuchen, was zum Auffinden von OAuth-Token für die Plattformen Salesloft Drift und Drift E-Mail geführt habe.

Mithilfe der gestohlenen OAuth-Token sei es Shinyhunters gelungen, rund 1,5 Milliarden Datensätze von kompromittierten Unternehmen zu stehlen. Diese seien aus den Salesforce-Objekttabellen "Account", "Contact", "Case", "Opportunity" und "User" abgegriffen worden. Als Beweis dafür, dass sie hinter dem Angriff stecke, habe die Gruppe eine Textdatei mit einer Liste der Quellcode-Ordner im gehackten Salesloft-Github-Repository mit 'Bleeping Computer' geteilt.

Zu den Opfern der Salesforce-Angriffswellen gehören auch zahlreiche prominente Tech-Unternehmen wie Google, Palo Alto Networks, Nutanix, Proofpoint, Tenable oder Zscaler. Vor wenigen Tagen warnte das FBI, dass die Cyberangriffe auf Salesforce-Kunden möglicherweise ein noch viel grösseres Ausmass haben, als bisher angenommen.