Die Cybercrime-Gruppe ShinyHunters behauptet, sie habe die globale Immobilienfirma Cushman & Wakefield gehackt und behauptet, Hunderttausende von Datensätzen im Rahmen einer laufenden Kampagne gegen Salesforce-Umgebungen gediebt zu haben.
Laut dem Beitrag der Gruppe auf ihrer Leak-Seite wurden mehr als 500.000 Datensätze, die mit den Salesforce-Systemen des Unternehmens verbunden sind, abgerufen. Die Angreifer behaupten, die Daten enthalte personenbezogene Daten und interne Unternehmensunterlagen, obwohl keine Beweise öffentlich veröffentlicht wurden, um diese Behauptung zu bestätigen.
Der angebliche Datenverstoß folgt einem Muster, das in jüngsten ShinyHunters-Aktivitäten zu sehen ist, bei denen Organisationen auf Leak-Portalen zusammen mit “Pay-or-Leak”-Ultimaten gelistet sind. In diesem Fall setzte die Gruppe Berichten zufolge eine kurze Frist, um das Unternehmen davor zu warnen, Kontakt aufzunehmen, sonst riskierte sie eine öffentliche Offenlegung der Daten.
Cushman & Wakefield hat den Vorfall zum Zeitpunkt der Berichterstattung noch nicht bestätigt, und es bleibt unklar, ob tatsächlich Systeme kompromittiert wurden oder ob Daten exfiltriert wurden. Das Fehlen von Beweisproben entspricht einigen früheren Erpressungsversuchen, bei denen Behauptungen genutzt werden, um Opfer vor der Überprüfung unter Druck zu setzen.
Der Vorfall steht im Zusammenhang mit einer umfassenderen Kampagne, die sich an Organisationen richtet, die die Experience Cloud-Plattform von Salesforce nutzen. Sicherheitshinweise deuten darauf hin, dass Angreifer falsch konfigurierte Umgebungen ausnutzen, insbesondere öffentlich zugängliche Portale mit zu großzügigen Gastzugriffseinstellungen.
Anstatt Schwachstellen in Salesforce selbst auszunutzen, stützen sich diese Angriffe typischerweise auf Konfigurationsschwächen oder Social Engineering. Falsch konfigurierte Zugriffskontrollen können es unbefugten Nutzern ermöglichen, CRM-Daten ohne Authentifizierung abzufragen und zu extrahieren, je nachdem, wie die Systeme eingerichtet sind.
ShinyHunters war 2026 mit mehreren hochkarätigen Fällen von Datendiebstahl und Erpressung verbunden, die häufig SaaS-Plattformen und cloudbasierte Geschäftssysteme ins Visier nahmen. Die Strategie der Gruppe beinhaltet häufig groß angelegte Datengewinnung, gefolgt von öffentlichen Druckkampagnen, die darauf abzielen, Lösegeldzahlungen zu erzwingen.
Der Cushman & Wakefield-Anspruch spiegelt die fortgesetzte Ausweitung dieser Aktivitäten in Branchen wider, darunter Immobilien, Finanzen und Technologie. Während die Ermittlungen andauern, hebt der Fall die anhaltenden Risiken im Zusammenhang mit Cloud-Service-Konfigurationen und dem zunehmenden Einsatz von Erpressungstaktiken bei Datenpannenvorfällen hervor.