Salesforce hat in einem Blogbeitrag vom 7. März auf eine laufende Angriffskampagne aufmerksam gemacht, bei der Angreifer fehlkonfigurierte oder öffentlich zugängliche Kundenseiten ausnutzen. Im Zentrum stehen Gastbenutzer-Einstellungen der Experience Cloud, die zu großzügig vergeben sind.
“Wir haben eine Kampagne festgestellt, in der böswillige Akteure die zu freizügigen Gastbenutzer-Konfigurationen der Experience Cloud unserer Kunden ausnutzen, um möglicherweise auf mehr Daten zuzugreifen, als die betroffenen Organisationen beabsichtigt haben”, erklärte das Unternehmen. Salesforce betont zugleich, die Plattform selbst bleibe sicher; das Problem beruhe nicht auf einer Schwachstelle im eigenen Produkt, sondern auf einer vom Kunden konfigurierten Gastbenutzer-Einstellung.
Nach Angaben des Unternehmens missbrauchen die Täter eine abgewandelte Version des Open-Source-Werkzeugs Aura Inspector. Das Tool wurde ursprünglich von Mandiant entwickelt, um Salesforce-Aura-Instanzen zu prüfen und Datenoffenlegungen aufzuspüren. Während das Original lediglich verwundbare Objekte identifiziert, indem es die von diesen Seiten bereitgestellten API-Endpunkte abfragt – konkret den Endpunkt /s/sfsites/aura –, hat der Angreifer laut Salesforce eine eigene Variante entwickelt, die über die bloße Identifikation hinausgeht und Daten tatsächlich extrahiert, indem sie die zu freizügigen Gastbenutzer-Einstellungen ausnutzt.
Salesforce selbst nennt den Urheber nicht. Die Gruppe ShinyHunters reklamierte den Angriff jedoch für sich und gibt an, im Rahmen einer von ihr als “Salesforce Aura Campaign” bezeichneten Aktion “mehrere Hundert Unternehmen” angegriffen zu haben. Die Bande droht damit, aus den Salesforce-Instanzen der Firmen gestohlene Informationen zu veröffentlichen, sollten diese ihren Erpressungsforderungen nicht nachkommen.
Die Kampagne reiht sich in eine längere Angriffsserie ein: Bereits seit Mitte 2025 nimmt ShinyHunters die Salesforce-Instanzen zahlreicher Organisationen ins Visier und setzt dabei unter anderem auf Social Engineering. Die im vergangenen Jahr bekannt gewordenen Vorfälle führten dazu, dass Millionen Datensätze kompromittiert und anschließend von der Gruppe geleakt wurden. Salesforce führt all diese Datenpannen auf Phishing, den Missbrauch von Drittanbieter-Integrationen oder Fehlkonfigurationen zurück – und nicht auf Schwachstellen in den eigenen Produkten oder Systemen.
