Google heeft klanten meer informatie gegeven het beveiligingsincident in een van zijn zakelijke Salesforce-instances. Dit systeem wordt gebruikt om in contact te komen met potentiële Google Ads-klanten.
Het gaat volgens Google om een beperkte set gegevens, waaronder bedrijfsnamen, telefoonnummers en interne notities, die door een aanvaller zijn ingezien. Volgens Google duurde de ongeautoriseerde toegang slechts korte tijd en is er geen toegang geweest tot andere Google-systemen. Er is geen impact op Ads-gegevens in Google Ads-accounts, Merchant Center, Google Analytics, andere Ads-producten of op betalingsinformatie.
Google geeft aan dat beveiligingsteams de Salesforce-instance hebben onderzocht en aanvullende maatregelen hebben getroffen. Klanten hoeven zelf geen actie te ondernemen. Wel herhaalt het bedrijf dat het nooit om inlog- of betalingsgegevens via de telefoon zal vragen.
Aanvallen door ShinyHunters
Het incident vindt plaats in een periode waarin meerdere grote organisaties slachtoffer zijn geworden van aanvallen op Salesforce-omgevingen. Uit onderzoek blijkt dat het gaat om de groep ShinyHunters, die bekend staat om grootschalige datadiefstal en het doorverkopen van informatie op het dark web.
In de recente aanvalscampagne gebruikt de groep social engineering om medewerkers telefonisch te misleiden. Daarbij worden zij overgehaald om een kwaadaardige toepassing te koppelen aan de bedrijfs-Salesforce. Die toepassing maakt gebruik van legitieme functies binnen Salesforce, waardoor de aanvaller gegevens kan exporteren zonder technische kwetsbaarheden te misbruiken.
Onder meer Air France-KLM, Cisco, LVMH, Qantas, Allianz, Adidas, Chanel en Pandora horen tot de getroffen organisaties. Hoewel de aard en omvang van de gestolen gegevens per bedrijf verschillen, gaat het vaak om klant- of contactinformatie die via CRM-systemen wordt beheerd. In alle gevallen lijkt het doel van ShinyHunters financieel gewin, waarbij de buitgemaakte data later kan worden gebruikt voor gerichte phishing- of fraudeaanvallen.
De campagne van ShinyHunters maakt duidelijk dat zelfs bedrijven kwetsbaar blijven wanneer aanvallers zich richten op menselijke fouten en misleiding. De incidenten onderstrepen volgens Google het belang van strikte toegangsbeperkingen, meervoudige authenticatie en voortdurende training van medewerkers om social engineering te herkennen.
Google zal zijn blog blijven bijwerken zodra er meer informatie over dit specifieke incident beschikbaar komt.