Die Hacker-Gruppe ShinyHunters hat sich als Verantwortliche für die ADT-Datenpanne zu erkennen gegeben. Das Unternehmen, das 1874 gegründet wurde und heute über 6 Millionen Kunden betreut, bestätigte den Sicherheitsvorfall am 20. April dieses Jahres. Laut ADT-Aussage beschränkte sich der Datenzugriff auf Namen, Telefonnummern und Adressen. In einem kleineren Prozentsatz der Fälle wurden auch Geburtsdaten sowie die letzten vier Ziffern von Sozialversicherungsnummern oder Steuernummern kompromittiert.
Die Cyberkriminellen drangen in die ADT-Systeme ein, indem sie einen ADT-Mitarbeiter über Voice-Phishing (Vishing) angriffen. Durch die Kompromittierung des Okta-Single-Sign-On-Kontos des Mitarbeiters gelangten die Hacker in die Salesforce-Instanz des Unternehmens. Diese Angriffsmethode ist Teil einer breiteren Kampagne von ShinyHunters, die seit vergangenem Jahr Mitarbeiter und BPO-Agenten ins Visier nimmt, um deren SSO-Zugänge bei Microsoft Entra, Okta und Google zu stehlen. Nach erfolgreicher Kompromittierung nutzen die Kriminellen die Zugänge, um Daten aus verbundenen SaaS-Anwendungen wie Salesforce, Microsoft 365, Google Workspace, SAP, Slack und anderen zu extrahieren.
ADT ist bereits die dritte bekannte Datenpanne innerhalb weniger Monate für das Unternehmen. Im August und Oktober 2024 wurden ebenfalls Sicherheitsvorfälle gemeldet, die Mitarbeiter- und Kundendaten freigaben. Diese Serie von Angriffen deutet auf systematische Schwachstellen in der Sicherheitsarchitektur hin.
ShinyHunters ist derzeit aktiv gegen mehrere große internationale Konzerne im Einsatz. Neben ADT und dem Medizingerätehersteller Medtronic (9 Millionen gestohlene Datensätze) sind auch die Europäische Kommission, Rockstar Games, McGraw Hill, 7-Eleven, Carnival Cruise Lines, Zara und Udemy betroffen. Diese breite Anschlagsfläche zeigt die wachsende Gefahr durch organisierte Cyberkriminalität, die systematisch SSO-Mechanismen ausnutzt.