Anonyme Besucher einer öffentlich zugänglichen Experience-Cloud-Seite teilen sich ein gemeinsames Gastnutzer-Profil. Üblicherweise dient dieses dazu, nicht angemeldeten Nutzern den Zugriff auf Daten zu erlauben, die ohnehin öffentlich verfügbar sein sollen. Ist das Profil jedoch mit überzogenen Berechtigungen ausgestattet, können laut Salesforce auch Daten erreichbar werden, die nicht für die Öffentlichkeit gedacht sind — ein Angreifer kann dann Salesforce-CRM-Objekte direkt abfragen, ohne sich anzumelden.

Salesforce zufolge setzt eine nicht identifizierte, „bekannte Angreifergruppe" eine modifizierte Version des Open-Source-Werkzeugs Aura Inspector ein, um öffentlich erreichbare Experience-Cloud-Seiten in großem Umfang zu scannen. Ursprünglich identifizierte Aura Inspector nur verwundbare Objekte durch das Abklopfen offengelegter API-Endpunkte; der Akteur hat dem Anbieter zufolge jedoch eine angepasste Variante entwickelt, die über die bloße Identifizierung hinausgeht und tatsächlich Daten extrahiert.

Eine konkrete Zuordnung der Angreifer wollte Salesforce gegenüber Dark Reading nicht nennen. Die Gruppe ShinyHunters hat sich allerdings offenbar zu einigen Angriffen bekannt. Als gefährdet gelten Experience-Cloud-Kunden, die das Gastnutzer-Profil verwenden und Berechtigungen für den öffentlichen Zugriff auf Objekte und Felder eingerichtet haben, die nach der empfohlenen Konfiguration nicht zugänglich sein sollten. Die Folgeaktivitäten bestanden aus gezielten Social-Engineering-Angriffen einschließlich Voice-Phishing — ein Vorgehen, das zum Muster von ShinyHunters passt.

Salesforce-Instanzen standen im vergangenen Jahr im Visier mehrerer Kampagnen. Finanziell motivierte Gruppen, darunter ShinyHunters, griffen Salesforce-Instanzen über Social-Engineering-Angriffe an, die im vergangenen Sommer begannen; Strafverfolgungsbehörden schalteten schließlich eine zugehörige Erpressungsseite ab, woraufhin die Angriffe offenbar dennoch weitergingen. In einer zweiten, davon getrennten Kampagne soll ein als Scattered Lapsus$ Hunters bekannter Akteur — angeblich ein Zusammenschluss von Scattered Spider, Lapsus$ und ShinyHunters — Daten von Dutzenden Salesforce-Kunden gestohlen und damit Erpressung betrieben haben. Beide Kampagnen waren zudem vom Lieferketten-Angriff auf Salesloft Drift aus dem Sommer 2025 zu unterscheiden.

Zur Eindämmung des beschriebenen Problems empfiehlt Salesforce seinen Experience-Cloud-Kunden, die Gastnutzer-Konfigurationen zu überprüfen, unternehmensweite Voreinstellungen auf „privat" zu setzen, öffentliche APIs zu deaktivieren, die Sichtbarkeit einzuschränken, die Selbstregistrierung bei Nichtbedarf abzuschalten, Protokolle der Ereignisüberwachung regelmäßig zu prüfen und einen Sicherheitskontakt zu hinterlegen.

Louis Eichenbaum, Federal Chief Technology Officer beim Sicherheitsanbieter ColorTokens, sagte Dark Reading, die Angriffe nähmen zu, weil Angreifer erkannt hätten, dass sie leicht durchzuführen seien und Salesforce sehr große Mengen sensibler Daten speichere. Er empfahl, Salesforce solle das automatische Anlegen von Gastnutzer-Profilen abschalten und den Unternehmen die Entscheidung über ein Gastkonto selbst überlassen.

Trey Ford, Chief Security and Trust Officer bei Bugcrowd, erklärte, Plattform-Ökosysteme seien schwer abzusichern, weil sie über ausgenutzte Vertrauensbeziehungen und schlecht verwaltete Zugangsdaten kompromittiert würden — insbesondere über Drittanbieter-Integrationen und nichtmenschliche Identitäten. Unternehmen müssten ihre Integrationen und Zugriffsmuster überprüfen, deren Nutzung härten, wo möglich IP-Beschränkungen anwenden und aktuelle Referenzmuster für Authentifizierung und Autorisierung einsetzen.