A Google megerősítette, hogy hackercsoport—azonosítva “ShinyHunters” (UNC6040) néven— hozzáférést szerzett egy belső Salesforce-adatbázishoz, amely kis- és középvállalkozások (SMB) kapcsolattartói adatait tartalmazta. A kiszivárgott információ kizárólag üzleti nevek és alapvető elérhetőségek voltak, amelyek jelszavak, pénzügyi vagy érzékeny adatok nélküliek. A támadást válthatta ki egy “vishing” (hangalapú adathalász) kampány, amely során csaló hívásokkal trükközték ki a hozzáférést. Google a beavatkozás után gyorsan letiltotta az illetéktelen hozzáférést.
Hogyan jutottak be?
A kampány magja a vishing (telefonos megtévesztés): a támadók IT‑s/HR‑es munkatársnak adták ki magukat, és rávették az érintetteket, hogy jóváhagyjanak egy hamis Salesforce Data Loader alkalmazást vagy módosítsanak hozzáféréseket. A Google rövid időn belül letiltotta az illetéktelen hozzáférést, de azelőtt a támadó már exportált bizonyos adatokat.
Mit jelent ez a felhasználóknak?
- Célzott adathalászat (phishing/vishing): a kapcsolattartási adatokkal hitelesnek tűnő e‑mailek és hívások indulhatnak (pl. „jelszó‑reset” vagy „számla‑egyeztetés” ürügyén).
- Nincs bizonyíték jelszólopásra: a Google és több forrás is azt közölte, hogy jelszavak, pénzügyi adatok nem szivárogtak ki – ettől függetlenül a social engineering kockázata magas.
- Nem egyedi eset: a hullám más cégeket (pl. Workday, Pandora, Adidas, LVMH‑márkák) is érintett – mindez azt jelzi, hogy a módszer iparági szinten aktív.
Ajánlott óvintézkedések
- Mindenütt MFA (egy ideiglenes jelszó‑reset sose történjen második faktor nélkül).
- Hívás‑hitelesítés: belső IT/HR megkeresésnél visszahívás a hivatalos, belső telefonkönyv szerinti számon.
- OAuth‑app audit: Salesforce‑ és Google‑kapcsolt alkalmazások jogosultságainak rendszeres felülvizsgálata.
- Security awareness: célzott tréning a vishing/phishing felismerésére.
Az eset fő pontjai – táblázatban
| Elem | Részletek |
|---|---|
| Érintett rendszer | Google vállalati Salesforce‑adatbázis (SMB‑leadek, kapcsolattartások) |
| Támadó csoport | ShinyHunters (UNC6040) |
| Módszer | Social engineering (vishing), megtévesztő telefonhívások, hamis/rosszhiszemű kapcsolt app |
| Kiszivárgott adatok | Üzleti kontaktrészletek, értékesítési jegyzetek; nem ismert jelszó- vagy fizetési adatszivárgás |
| Kockázat | Célzott adathalászat, további social engineering próbálkozások Gmail/Workspace‑fiókok ellen |
| Google lépése | Hozzáférés azonnali letiltása, incidenskezelés; felhasználói óvatosság kérése |
Miért fontos ez most?
A Salesforce‑kapcsolt ökoszisztémák sok helyen „láthatatlan ragasztóként” kötik össze a marketing‑ és értékesítési csatornákat. Ha egy támadó – akár rövid időre is – beférkőzik, már elegendő adatot gyűjthet hitelesnek tűnő csalások kivitelezéséhez. A mostani eset ezért nem elszigetelt biztonsági baki, hanem intő jel: az emberi tényező elleni védelem (folyamat + tréning + MFA) kritikus.
