Recente datalekken bij Google en KLM tonen een verontrustend patroon: gerichte aanvallen op Salesforce-omgevingen door de hackersgroep ShinyHunters. Deze groep, bekend van eerdere datadiefstallen, past vaak de methode van vishing toe, oftewel: voice phishing. Medewerkers worden telefonisch misleid om hun Salesforce-inloggegevens prijs te geven.
Zodra de aanvallers toegang hebben, halen ze klantgegevens binnen enkele uren op. In plaats van systemen te versleutelen, chanteren ze bedrijven met de dreiging deze data openbaar te maken.
Google bevestigde dat het in juni slachtoffer werd van zo’n aanval. Een van hun Salesforce-accounts werd kortstondig gecompromitteerd, waarna contactgegevens van kleine en middelgrote bedrijven werden buitgemaakt. Volgens Google ging het vooral om publiek toegankelijke informatie, maar de aanval onderstreept hoe snel en ingrijpend ShinyHunters kunnen toeslaan. Ook de Nederlandse luchtvaartorganisatie KLM zou volgens ingewijden op soortgelijke wijze zijn getroffen.
Nog grote namen
ShinyHunters, dat eerder betrokken was bij aanvallen op onder meer AT&T en Snowflake, beweert tegenover vakpublicatie Bleeping Computer meerdere Salesforce-omgevingen van grote bedrijven te hebben gehackt en nog steeds actief te zijn. Sommige slachtoffers, waaronder mogelijk modemerken van LVMH, Cisco en Adidas, zouden zijn afgeperst.
De impact lijkt alvast groot. ‘Er wordt vaak geschreven over ‘een datalek hier en een datalek daar’, maar wat momenteel gaande is, tart elke verbeelding’, stelt cybersecurity- ondernemer Erik Westhovens in een post op Linkedin. ‘Klanten die Salesforce gebruiken worden massaal gehackt en data wordt ge-exposed. En dan hebben we het niet over de kleinere bedrijven.’
Trend van ‘living off the land’
De aanpak van ShinyHunters past in een bredere trend van malwarevrije aanvallen. In plaats van kwaadaardige software te installeren, maken aanvallers misbruik van legitieme tools en diensten — in dit geval de gebruikersinterface van Salesforce zelf. Deze ‘living off the land’-strategie duikt steeds vaker op in moderne cyberaanvallen. De incidenten wijzen tegelijk ook op een kwetsbare plek: bedrijven vertrouwen op Salesforce, maar hebben vaak hun beveiliging niet volledig op orde. Vaak ontbreekt multi-factor-authenticatie, zijn toegangsrechten te ruim of worden verdachte logins niet gedetecteerd. Het misbruik van legitieme toegang – zonder malware – maakt zulke aanvallen moeilijk te onderscheppen.
