39 Firmen im Visier: Hacker stehlen Daten aus Salesforce und drohen mit Veröffentlichung im Darknet. Der Einbruch ins CRM erfolgte über Schwachstellen von Drittanbietern.
Update vom 17. Oktober 2025
Die Hackergruppe Scattered Lapsus$ Hunters veröffentlichte am 11. Oktober die ersten Daten. Betroffen sind die Unternehmen Albertsons (US-amerikanische Supermarktkette), Engie Resources (globaler Energieversorger), Fuji Film, GAP (Bekleidungshändler) sowie die beiden Fluggesellschaften Qantas und Vietnam Airlines. So berichtet auch BankInfoSecurity.
US-amerikanische und französische Sicherheitsbehörden beschlagnahmten Domains, nahmen Seiten herunter oder leiteten sie um, um zahlreiche veröffentlichte Kundendaten zu sichern – darunter Namen, Geburtsdaten und E-Mail-Adressen sowie Telefonnummer, wie auch The Guardian schrieb.
Falls ihr kürzlich nach Vietnam oder Australien gereist seit, könnt ihr über haveibeenpwnd eure E-Mail-Adressen überhüpfen. Wir klären euch auch gerne auf, ob die Seite mit ihrem Angebot sicher und seriös ist.
Wie die Hacker an die Daten kamen
Cyberkriminelle haben kompromittierte OAuth-Token von Drittanbieter-Integrationen wie Drift/Salesloft genutzt, um auf Salesforce-Kundendaten zuzugreifen.
Die Hacker, die zusammen die Gruppe Scattered Lapsus$ Hunters bilden, zielten nicht auf die Salesforce-Plattform selbst, sondern auf das schwächste Glied: die Mitarbeiter der Unternehmen. Der Vorfall zeigt das enorme Risiko, das von vernetzten Cloud-Anwendungen ausgeht.
Darknet-Erpressung: Die Gefahr der Veröffentlichung
Die Hacker erbeuteten Daten mittels Voice-Phishing-Anrufen und als IT-Support getarnten Betrugsanrufen. So kamen sie an Geschäftsdaten in Form von E-Mail-Adressen und Telefonnummern. Diese nutzen sie nun zur Erpressung von rund 39 betroffenen Konzernen. Die Täter drohen mit der Veröffentlichung auf Leaksites im Darknet, um hohe Lösegelder zu erzwingen (via The Guardian).
Unter den Betrugsopfern befinden sich meist Mitarbeiter englischsprachiger Zweige von Adidas, ASICS, Cartier, Chanel, Cisco, Disney/Hulu, FedEx, Google Adsense, HBO Max, Home Depot, Ikea, KFC, Marriott, McDonald’s, Puma, Toyota, Stellantis und UPS.
Die Frist für die Aufnahmen der Verhandlungen haben die Kriminellen auf Freitag, den 10. Oktober gesetzt. Knapp eine Milliarde Einträge würden nicht veröffentlicht werden, sollte das Unternehmen die Cybergangs kontaktieren und die Verhandlungen aufnehmen. In diesem Fall würden die einzelnen Unternehmen auch nicht zahlen müssen.
Wollt ihr Betrugsmaschen besser erkennen, solltet ihr das Video ansehen.
Als Reaktion auf den Hack ist eine sofortige Sicherheitsverschärfung notwendig
Googles IT-Sicherheitsunternehmen Mandiant veröffentlichte einige Maßnahmen, wie Unternehmen sich besser gegen Hackangriffe wie die von UNC6040 schützen können.
Für besseren Schutz sollten Unternehmen Multi-Faktor-Authentifizierung (MFA) für alle Zugänge einsetzen. Zudem sollte das Least-Privilege-Prinzip rigoros angewandt werden, um den Zugriff von Drittanbieter-Apps auf ein Minimum zu beschränken.
