Laut der an die Kunden verschickten Benachrichtigung griffen die Täter auf das Salesforce-Konto eines Mitarbeiters zu. Die dabei offengelegten Daten bestünden überwiegend aus Namen und Kontaktdaten von Schulpersonal sowie aus Informationen, die ohnehin allgemein öffentlich zugänglich seien.
“Ihr Ziel war die Salesforce-Instanz von Infinite Campus, die Namen und Kontaktdaten von Schulpersonal enthält; der Großteil davon sind Verzeichnisinformationen, die üblicherweise auf den Webseiten der Schulen zu finden sind”, erklärte das Unternehmen. Kundendatenbanken seien nach den bisherigen Erkenntnissen nicht abgeflossen.
Die Erpressergruppe ShinyHunters reklamierte den Angriff für sich und veröffentlichte auf ihrer Darknet-Seite eine “letzte Warnung”. Sie setzte dem Unternehmen eine Frist bis zum 25. März, um Kontakt aufzunehmen und über ein Lösegeld zu verhandeln, andernfalls werde sie die Daten veröffentlichen. Infinite Campus erklärte, sich nicht mit dem Angreifer einzulassen. ShinyHunters behauptet, Salesforce-Datensätze mit personenbezogenen Daten und diversen internen Unternehmensinformationen erbeutet zu haben.
Infinite Campus nannte ShinyHunters zwar nicht namentlich, beschrieb den Eindringling aber als “Teil einer Gruppe, die dafür bekannt ist, die Salesforce-Konten Hunderter Unternehmen ins Visier zu nehmen”. Die Gruppe hat im vergangenen Jahr gezielt Salesforce-Kunden angegriffen, Hunderte Unternehmen kompromittiert und beansprucht, im Zuge des Salesloft-Drift-Hacks und der jüngeren Salesforce-Aura-Kampagne mehr als 1,5 Milliarden Datensätze entwendet zu haben.
Als Reaktion auf den Vorfall hat das Unternehmen bestimmte kundenseitige Dienste für Nutzer ohne IP-Adressbeschränkung deaktiviert, um das Risiko einer möglichen Offenlegung sensibler Daten zu verringern. Zugleich durchsucht es sämtliche potenziell betroffenen Salesforce-Daten und kontaktiert möglicherweise betroffene Schulbezirke, um diese zu beraten.
BleepingComputer fragte bei Infinite Campus nach, wie viele Schulbezirke betroffen sind; ein Unternehmensvertreter übermittelte lediglich die an die Kunden versandte Benachrichtigung ohne weitere Stellungnahme.
Infinite Campus ist ein US-amerikanisches Bildungstechnologieunternehmen, das sein Schülerinformationssystem mehr als 3.200 Schulbezirken bereitstellt und damit nach eigenen Angaben Daten von elf Millionen Schülern in 46 Bundesstaaten verwaltet. Der Vorfall ähnelt dem PowerSchool-Hack vom Dezember 2024 wegen der vergleichbaren Art der betroffenen Plattform, fiel im Ausmaß jedoch deutlich anders aus: Dort wurden sensible Informationen von 62 Millionen Schülern offengelegt. Der Täter, ein 19-jähriger Student aus Massachusetts, wurde nach seinem Schuldeingeständnis im Mai 2025 zu vier Jahren Haft verurteilt.
