ShinyHunters stelt dat het in staat was om meer dan anderhalf miljard Salesforce-records buit te maken. Volgens de groep werden 760 bedrijven getroffen via gecompromitteerde OAuth-tokens van Salesloft Drift.
Dit meldt BleepingComputer. De aanvallen zouden al een jaar gaande zijn. Daarbij richtten de criminelen zich op klanten van Salesforce door middel van social engineering en kwaadaardige applicaties die toegang kregen via OAuth. Zodra ze een Salesforce-omgeving konden binnendringen, werden data gedownload. Vervolgens gebruikten de aanvallers die informatie om bedrijven onder druk te zetten en losgeld te eisen. ShinyHunters dreigde de data anders publiek te maken.
Het gaat volgens de hackers om records uit de Salesforce-tabellen voor accounts, contacten, cases, opportunities en gebruikers. Een aanzienlijk deel komt uit de Case-tabellen, die informatie bevatten uit supporttickets van klanten. Bij technologiebedrijven kan dit gevoelige data omvatten. Bronnen bevestigen dat de aantallen die door de hackers zijn genoemd, overeenkomen met de werkelijkheid.
Een eerdere inbraak bij Salesloft speelde daarbij een belangrijke rol. In maart werd de GitHub-repository van het bedrijf benaderd, met daarin de private broncode. Via de beveiligingstool TruffleHog konden de aanvallers OAuth-tokens voor Drift en Drift Email opsporen, die later werden ingezet om toegang tot Salesforce-omgevingen te verkrijgen.
Onderzoeksafdeling Mandiant van Google meldt dat de aanvallers van ShinyHunters het gestolen materiaal nauwkeurig hebben doorzocht op inloggegevens, toegangstokens en andere geheimen die bruikbaar waren om door te dringen tot aanvullende systemen. Daarbij werd onder meer gezocht naar AWS-sleutels en tokens voor Snowflake.
FBI gaf een waarschuwing
Grote namen blijken slachtoffer te zijn geworden van deze campagne. Bedrijven als Google, Cloudflare, Palo Alto Networks, Proofpoint en Elastic worden genoemd. De omvang van de operatie leidde ertoe dat de FBI een waarschuwing uitbracht over de betrokken dreigingsactoren, die door Google worden aangeduid als UNC6040 en UNC6395.
Hoewel ShinyHunters eerder dit jaar via Telegram suggereerde de activiteiten te staken, blijkt uit rapporten van ReliaQuest dat de aanvallers in de zomer van 2025 juist nieuwe doelwitten hebben gezocht, waaronder financiële instellingen. De kans is groot dat zij hun campagnes voortzetten.
Salesforce adviseert klanten om hun beveiliging goed op orde te houden. Het bedrijf wijst op het belang van multi-factor authenticatie, het principe van minimale toegangsrechten en een zorgvuldig beheer van gekoppelde applicaties.