De cybercrimegroep ShinyHunters heeft wat zij beweert een enorme dataset te zijn die aan Salesforce is gekoppeld, gestolen van de commerciële vastgoedgigant Cushman & Wakefield nadat de vermeende losgeldonderhandelingen waren mislukt.
Volgens berichten die zijn gepubliceerd op de dark web-leksite van de groep, beweren de aanvallers dat ze meer dan 500.000 Salesforce-records hebben gecompromitteerd met persoonlijk identificeerbare informatie en interne bedrijfsgegevens die aan het bedrijf zijn gekoppeld. ShinyHunters zegt dat het gelekte archief ongeveer 50GB groot is.
De groep noemde Cushman & Wakefield eerder deze maand als slachtoffer en stelde een deadline waarin het bedrijf werd geëist te onderhandelen voordat de gegevens openbaar werden gemaakt. Nadat de deadline was verstreken, heeft ShinyHunters zijn lekpagina bijgewerkt met downloadlinks voor de vermeende dataset.
Cushman & Wakefield bevestigde eerder dat het een “beperkte” beveiligingsincident had meegemaakt door een vishing-aanval, hoewel het bedrijf de beweringen van de hackers over Salesforce-datadiefstal of de omvang van de vermeende datalek niet verifieerde. Het bedrijf zei dat het incidentresponsprocedures heeft geactiveerd en externe cybersecurityspecialisten heeft ingeschakeld om onderzoek te doen.
Onderzoekers analyseren de gelekte bestanden nog steeds om precies te bepalen welke informatie mogelijk is blootgelegd. Vroege rapporten suggereren dat het archief klantgegevens, interne bedrijfsinformatie en mogelijk gevoelige bedrijfscommunicatie die gekoppeld is aan Salesforce-systemen kan bevatten.
Het incident lijkt gekoppeld aan de bredere campagne van ShinyHunters die zich richt op cloud- en SaaS-platforms via social engineering-aanvallen. Beveiligingsonderzoekers en Google-dreigingsanalisten waarschuwden eerder dat de groep steeds meer vertrouwt op voicephishing-operaties om medewerkers te misleiden zodat ze inloggegevens en multi-factor authenticatiecodes afstaan.
In verschillende recente incidenten zouden aanvallers zich hebben voorgedaan als IT-personeel en medewerkers naar nep-inlogportalen hebben gestuurd die bedoeld waren om bedrijfsgegevens te verzamelen. Eenmaal binnen richtten de dreigingsactoren zich sterk op cloudgebaseerde platforms, waaronder Salesforce, Okta, Microsoft 365 en Google Workspace.
De Cushman & Wakefield-lek maakt deel uit van een groeiende reeks afpersingsincidenten gerelateerd aan ShinyHunters met betrekking tot Salesforce-omgevingen. Meerdere bedrijven zijn onlangs op de leksite van de groep verschenen nadat aanvallers beweerden grote hoeveelheden klant- en interne bedrijfsgegevens van cloudverbonden systemen te hebben gestolen.
De situatie werd nog ingewikkelder door een andere ransomwaregroep, bekend als Qilin, Cushman & Wakefield enkele dagen nadat de ShinyHunters-claim naar buiten kwam op zijn eigen leksite te vermelden. Qilin publiceerde echter geen ondersteunend bewijs of aanvullende details, en onderzoekers zeggen dat er momenteel geen bevestigd verband is tussen de twee groepen.
Cybersecurity-experts waarschuwen dat gelekte Salesforce-datasets aanzienlijke risico’s kunnen opleveren omdat ze vaak gedetailleerde klantgegevens, contactinformatie, verkooppijplijnen, contracten en interne communicatie bevatten. Zelfs als financiële informatie ontbreekt, kunnen aanvallers nog steeds blootgestelde bedrijfsgegevens gebruiken voor phishingcampagnes, fraude, imitatie-aanvallen en vervolg social engineering-operaties.
Het incident benadrukt ook groeiende zorgen rond SaaS-beveiliging en cloudgebaseerde identiteitssystemen. In plaats van traditionele on-premise infrastructuur te schenden, richten moderne cybercriminele groepen zich steeds vaker op personeelsgegevens en cloudplatforms die de toegang tot gevoelige bedrijfsgegevens centraliseren.
Op dit moment is de volledige omvang van het vermeende Cushman & Wakefield-lek onduidelijk, en de onafhankelijke verificatie van de gepubliceerde dataset is nog gaande.