Google potwierdza naruszenie danych Salesforce przez ShinyHunters za pośrednictwem oszustwa Vishing

W niedawnym ujawnieniu Google potwierdziło, że jedna z jego wewnętrznych baz danych została naruszona przez znaną organizację cyberprzestępczą. Google Threat Intelligence Group (GTIC), która badała już działania grupy znanej jako ShinyHunters (lub UNC6040), ujawniła, że w czerwcu doszło do dostępu do jej własnej bazy danych Salesforce. Atak ujawnił informacje należące do małych i średnich przedsiębiorstw, z których korzysta Google.

Firma oświadczyła, że naruszenie bezpieczeństwa zostało szybko opanowane, a hakerzy mieli do niego dostęp jedynie przez „krótki czas”. Skradzione dane zostały opisane jako „podstawowe i w dużej mierze publicznie dostępne”, obejmujące nazwy firm, dane kontaktowe i powiązane notatki. Chociaż Google nie ujawniło pełnej skali naruszenia, incydent ten uwydatnia rosnące obawy dotyczące bezpieczeństwa wszystkich firm, w tym gigantów technologicznych.

Atak ten nie był tradycyjnym atakiem hakerskim wykorzystującym lukę w oprogramowaniu, lecz wyrafinowaną metodą socjotechniczną . Hakerzy zastosowali metodę zwaną vishingiem (phishing głosowy), podszywając się pod pracowników wsparcia IT firmy w rozmowie telefonicznej.

Podczas rozmowy oszukali pracownika Google, aby zatwierdził złośliwą aplikację podszywającą się pod legalne narzędzie – Salesforce Data Loader. Ta fałszywa aplikacja umożliwiła hakerom dostęp do bazy danych, umożliwiając im kradzież informacji.

Według badań Google Threat Intelligence Group (GTIG), za włamania odpowiada grupa UNC6040, podczas gdy inna, UNC6240, zajmuje się wymuszeniami, żądając płatności w Bitcoinach w ciągu 72 godzin. Firma ostrzega również, że hakerzy zaktualizowali swoje narzędzia i mogą planować uruchomienie witryny do wykrywania wycieków danych (DLS), aby wywierać presję na ofiary.

„Wiadomość o naruszeniu danych Google w niedawnej fali ataków przeprowadzonych przez ShinyHunters pokazuje, że żadna organizacja nie jest odporna na cyberprzestępczość ” – powiedział William Wright , dyrektor generalny Closed Door Security. „Nie ma znaczenia, czy jesteś małą firmą, czy jedną z wiodących światowych firm technologicznych – wszystkie organizacje są narażone na ataki ” .

Podkreślił również, że szkolenie pracowników i stosowanie uwierzytelniania wieloskładnikowego (MFA) są kluczowe dla blokowania tych ataków na wczesnym etapie.

To naruszenie bezpieczeństwa wpisuje się w szerszy trend ataków grupy ShinyHunters. W ciągu ostatniego roku serwis Hackread.com donosił o powiązaniach grupy z kilkoma głośnymi incydentami, w tym z masowym naruszeniem bezpieczeństwa w banku Santander w maju 2024 roku oraz kolejnym w Ticketmaster , które dotknęło ponad 560 milionów klientów na całym świecie.

Zagrożenie jest nadal aktywne, ponieważ luksusowa marka odzieżowa Chanel ogłosiła niedawno, że w lipcu padła ofiarą naruszenia bezpieczeństwa danych, które dotknęło niektórych jej amerykańskich klientów za pośrednictwem zewnętrznej bazy danych Salesforce. Raport Google ostrzega również, że ShinyHunters może planować zintensyfikowanie działań, uruchamiając publiczną stronę wycieku danych.

W odpowiedzi na atak Google poinformowało o podjęciu natychmiastowych działań w celu zabezpieczenia swoich systemów i powiadomienia klientów, których dotyczył atak. Firma zaleca również innym firmom wzmocnienie obrony poprzez lepsze szkolenie pracowników, uwierzytelnianie wieloskładnikowe i surowsze kontrole dostępu, aby zapobiec podobnym atakom socjotechnicznym.