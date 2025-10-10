39 Firmen im Visier: Hacker stehlen Daten aus Salesforce und drohen mit Veröffentlichung im Darknet. Der Einbruch ins CRM erfolgte über Schwachstellen von Drittanbietern.

Erfahre mehr zu unseren Affiliate-Links Symbol gekennzeichnet. Wenn du über diese Links einkaufst, erhalten wir eine Provision, die unsere redaktionelle Arbeit unterstützt. Der Preis für dich bleibt dabei unverändert. Diese Affiliate-Links sind durch einSymbol gekennzeichnet. Mehr erfahren.

Wie die Hacker an die Daten kamen

Cyberkriminelle haben kompromittierte OAuth-Token von Drittanbieter-Integrationen wie Drift/Salesloft genutzt, um auf Salesforce-Kundendaten zuzugreifen.

Die Hacker, die zusammen die Gruppe ShinyHunters (auch „UNC6040“) bilden, zielten nicht auf die Salesforce-Plattform selbst, sondern auf das schwächste Glied: die Mitarbeiter der Unternehmen. Der Vorfall zeigt das enorme Risiko, das von vernetzten Cloud-Anwendungen ausgeht.

Anzeige

Darknet-Erpressung: Die Gefahr der Veröffentlichung

Die Hacker erbeuteten Daten mittels Voice-Phishing-Anrufen und als IT-Support getarnten Betrugsanrufen. So kamen sie an Geschäftsdaten in Form von E-Mail-Adressen und Telefonnummern. Diese nutzen sie nun zur Erpressung von rund 39 betroffenen Konzernen. Die Täter drohen mit der Veröffentlichung auf Leaksites im Darknet, um hohe Lösegelder zu erzwingen (via The Guardian).

Unter den Betrugsopfern befinden sich meist Mitarbeiter englischsprachiger Zweige von Adidas, ASICS, Cartier, Chanel, Cisco, Disney/Hulu, FedEx, Google Adsense, HBO Max, Home Depot, Ikea, KFC, Marriott, McDonald’s, Puma, Toyota, Stellantis und UPS.

Die Frist für die Aufnahmen der Verhandlungen haben die Kriminellen auf Freitag, den 10. Oktober gesetzt. Knapp eine Milliarde Einträge würden nicht veröffentlicht werden, sollte das Unternehmen die Cybergangs kontaktieren und die Verhandlungen aufnehmen. In diesem Fall würden die einzelnen Unternehmen auch nicht zahlen müssen.

Wollt ihr Betrugsmaschen besser erkennen, solltet ihr das Video ansehen.

Anzeige

Als Reaktion auf den Hack ist eine sofortige Sicherheitsverschärfung notwendig

Googles IT-Sicherheitsunternehmen Mandiant veröffentlichte einige Maßnahmen, wie Unternehmen sich besser gegen Hackangriffe wie die von UNC6040 schützen können.

Für besseren Schutz sollten Unternehmen Multi-Faktor-Authentifizierung (MFA) für alle Zugänge einsetzen. Zudem sollte das Least-Privilege-Prinzip rigoros angewandt werden, um den Zugriff von Drittanbieter-Apps auf ein Minimum zu beschränken.