Microsoft, AT&T en Santander weten er al alles van: getroffen worden door het hackerscollectief ShinyHunters. Wat is er bekend over de huidige reeks aanvallen op Salesforce-omgevingen van onder meer Google, Air France-KLM, LVMH en Adidas?
De afgelopen weken zijn vele slachtoffers van datalekken de revue gepasseerd. Google verloor de records van contact met mkb’ers in een Salesforce-instance, Air France-KLM gaf o.a. namen en airmiles-data weg via hun CRM en kledingreus LVMH (Louis Vuitton, Dior, Tiffany) werd beroofd van regionale klantcontactrecords.
De motivatie van vermeend dader ShinyHunters lijkt vrij eenvoudig. In tegenstelling tot staatsactoren is deze in 2020 gevormde groep vooral uit op cryptomunten. Door gevoelige gegevens buit te maken en door te verkopen op de dark web, is het businessplan een gegarandeerd succes.
In 2020 was het al raak bij Microsofts GitHub-account en in 2021 bij AT&T. Tevens profiteerde de groep van de Snowflake-aanvallen door onder meer Ticketmaster en Santander te treffen.
“Glanzende” gegevens
De naam van ShinyHunters zou voortkomen uit Pokémon. In die serie/games/kaartenverzameling zijn “shiny” monsters zeldzaam (ook wel “shinies”) en dus begeerlijk. Met onderstaand rijtje aan slachtoffers moge duidelijk zijn dat de hackersgroep zeker te maken heeft met begeerlijke data voor cybercriminelen:
Google, Cisco, Air France-KLM: de meest recente lichting
Zoals gezegd werd Google geraakt. Sommige klantgegevens werden buitgemaakt door UNC6040, de wat minder goed bekkende naam van ShinyHunters. Volgens Google was de buitgemaakte data basaal en overwegend publiekelijk beschikbaar, zoals bedrijfsnamen en -telefoonnummers. Echter is onduidelijk hoeveel klanten er precies geraakt zijn.
Ook gebruikersaccounts op Cisco.com bleken onveilig. Een incident van voice phishing (vishing) leidde tot een doorbraak. Cisco had de aanval op 24 juli in de smiezen; het bedrijf ontdekte dat een CRM-systeem was gecompromitteerd. Namen, adressen, user ID’s op Cisco.com, e-mailadressen, telefoonnummers en metadata zijn gestolen. Cisco bevestigt niet dat Salesforce geraakt is of ShinyHunters verdacht wordt, maar de kans is zeer groot gezien de golf aan bevestigde aanvallen.
Over het datalek bij Air France-KLM schreven we eerder. De luchtvaartmaatschappij verloor eveneens gevoelige data zoals e-mailadressen en de status van gebruikers in het airmiles-programma. Echter waren alleen klanten die contact hebben gehad met de klantenservice geraakt en zijn zaken als wachtwoorden en berichten geheim gebleven.
Elders en eerder: Qantas, Allianz Life, LVMH, Adidas, Chanel, Pandora
Naast Air France-KLM was ook collega-luchtvaartmaatschappij Qantas geraakt. Ook hier betrof het gegevens van passagiers, deze keer uit CRM-tables.
Allianz meldde net als Qantas in juli dat het was getroffen. De Noord-Amerikaanse tak van Allianz Life had te maken met ongeoorloofde CRM-toegang. Opnieuw is niet bij elk slachtoffer bevestigd dat het om Salesforce en om ShinyHunters gaat, maar de slachtoffers zouden dreigende e-mailberichten hebben ontvangen met de eis om te betalen zodat de data niet gelekt wordt.
Kledingconcern LVMH was daarnaast niet de enige in zijn branche die door ShinyHunters is aangepakt. Adidas verloor customer service tickets, Chanel werd bestolen van een client-care database en Pandora raakte klantprofielen kwijt.
Conclusie: wat nu?
Het moet gezegd worden: deze data lijkt vooralsnog niet publiekelijk beschikbaar. Toch is het risico aanwezig dat de gevoelige klantgegevens al verkocht zijn aan de hoogste bieder op de dark web. Daarnaast biedt een betaling aan de cybercirminelen geen garanties: wat als men immers een bedrag int van het slachtoffer en vervolgens doodleuk de data alsnog doorverkoopt?
Voor klanten geldt dat men extra alert zal moeten zijn op verdachte e-mails, telefoontjes en overtuigend klinkende phishing-pogingen. Zo weten potentiële aanvallers wellicht welke aankoop iemand heeft gedaan of welke vlucht men heeft genomen, waardoor een kwaadaardige link in een legitiem ogende mail aan klikbaarheid wint.