Salesforce hat erneut eine Sicherheitswarnung an seine Kundschaft ausgegeben. Die bekannte Cyberkriminalgruppe ShinyHunters führt derzeit eine großangelegte Kampagne durch, bei der Daten gestohlen und Erpressungsversuche unternommen werden.
Seit Mitte 2025 visiert ShinyHunters gezielt Salesforce-Instanzen verschiedenster Organisationen an — bevorzugt mit Social-Engineering-Methoden und weiteren Taktiken. Die bereits vergangenes Jahr bekannt gewordenen Sicherheitsvorfälle führten zum Diebstahl und zur Veröffentlichung von Millionen Datensätzen durch die Gruppe.
Nach Angaben von Salesforce gingen alle dokumentierten Datenpannen auf Phishing-Angriffe, Missbrauch von Drittanbieter-Integrationen oder Fehlkonfigurationen zurück — nicht auf Schwachstellen in den eigenen Produkten oder Systemen.
In einer am 7. März veröffentlichten Stellungnahme warnte Salesforce vor laufenden Attacken, die Fehlkonfigurationen und öffentlich zugängliche Seiten ausnutzen. Das Unternehmen identifizierte eine Kampagne, in der Angreifer übermäßig freizügig konfigurierte Experience-Cloud-Gastbenutzer-Einstellungen missbrauchen, um auf mehr Daten zuzugreifen, als die betroffenen Organisationen beabsichtigten.
“Salesforce bleibt sicher, und dieses Problem ist nicht auf eine inhärente Plattformschwachstelle zurückzuführen. Unsere bisherigen Ermittlungen bestätigen, dass die Aktivitäten auf eine kundenseitig konfigurierte Gastbenutzer-Einstellung zurückgehen, nicht auf einen Plattform-Sicherheitsfehler,” erklärte das Unternehmen.
Salesforce zufolge haben die Bedrohungsakteure eine modifizierte Version des Open-Source-Tools Aura Inspector entwickelt und eingesetzt. Das ursprüngliche Tool — von Mandiant für Sicherheitsaudits an Salesforce-Aura-Instanzen entwickelt — dient der Identifikation von Datenschutzrisiken. Die kriminelle Variante geht jedoch deutlich weiter: Sie kann nicht nur Schwachstellen aufdecken, sondern auch Daten direkt extrahieren und dabei die zu permissiven Gastbenutzer-Einstellungen ausnutzen.
Obwohl Salesforce den Bedrohungsakteur nicht namentlich genannt hat, übernahm die ShinyHunters-Gruppe die Verantwortung für die Angriffe. Die Gruppe behauptet, “mehrere hundert Unternehmen” im Rahmen der sogenannten “Salesforce Aura Campaign” ins Visier genommen zu haben.
Die Cyberkriminellen-Bande droht nun damit, gestohlene Informationen aus den Salesforce-Instanzen der betroffenen Unternehmen zu veröffentlichen, sofern diese sich ihren Erpressungsforderungen nicht fügen.