Google офіційно підтвердила, що нещодавній витік даних з одного з її корпоративних екземплярів Salesforce CRM торкнувся інформації потенційних клієнтів рекламної платформи Google Ads. Інцидент зачепив лише обмежений обсяг даних, зокрема назви компаній, номери телефонів та пов’язані нотатки, які використовувалися представниками відділу продажів для повторного контакту з клієнтами. У Google підкреслюють, що платіжні дані не були скомпрометовані, а також, що самі рекламні акаунти та сервіси на кшталт Google Ads Account, Merchant Center чи Google Analytics залишилися недоторканими.
За інформацією, яку поширили хакери з угруповання ShinyHunters, обсяг викрадених відомостей становить близько 2,55 мільйона записів, хоча точна кількість унікальних даних поки невідома. Самі зловмисники стверджують, що діяли у тісній співпраці з кіберугрупованням Scattered Spider, яке забезпечило первинний доступ до систем. Наразі вони об’єдналися під спільною назвою Sp1d3rHunters, підкреслюючи спільність складу та методів.
Схема атак передбачала соціальну інженерію для отримання облікових даних співробітників або обману з метою прив’язати шкідливу версію додатка Salesforce Data Loader OAuth до середовища жертви. Після цього хакери завантажували повну базу Salesforce та надсилали компаніям вимоги сплатити викуп, погрожуючи опублікувати викрадені дані. У випадку з Google ShinyHunters заявили, що вимагали 20 біткоїнів (близько 2,3 млн доларів), але згодом зневажливо зазначили, що відправили листа «заради розваги», не маючи серйозних намірів.
Google підтвердила, що хвиля подібних атак на користувачів Salesforce була вперше зафіксована ще в червні аналітиками Google Threat Intelligence Group, і вже через місяць компанія сама стала мішенню. При цьому зловмисники почали використовувати новий інструмент на основі Python-скриптів, що дозволяє швидше та зручніше викрадати дані з уражених CRM-систем, замінюючи класичний Data Loader.
Інцидент ще раз підкреслює, наскільки вразливими можуть бути навіть великі технологічні компанії перед цілеспрямованими та добре скоординованими атаками, що комбінують технічні експлойти із соціальною інженерією.