Google hat bestätigt, dass es im Juni 2025 Opfer einer koordinierten Cyberattacke geworden ist, hinter der die bekannte Gruppe ShinyHunters (UNC6040) steckt. Die Angreifer verschafften sich Zugang zu den Unternehmensdatenbanken von Salesforce, in denen die Kontaktdaten der Geschäftspartner des Unternehmens gespeichert waren.
Nach Angaben der Google Threat Intelligence Group (GTIG) verwendeten die Hacker die Methode des Voice Phishing. Sie riefen Mitarbeiter an, gaben sich als interne IT-Mitarbeiter aus und überredeten sie, eine modifizierte Version des Salesforce Data Loader zu installieren. Dadurch erhielten sie Zugriff auf die Datenbank, bis der Vorfall entdeckt wurde.
Zu den gestohlenen Informationen gehören Geschäftskontakte und Kundendaten. Google betont, dass keine Zahlungsinformationen oder personenbezogene Daten von Nutzern offengelegt wurden und die wichtigsten Systeme des Unternehmens unversehrt geblieben sind. Experten warnen jedoch, dass selbst solche Daten für neue Phishing-Angriffe verwendet werden könnten. Das Hauptproblem hierbei ist nicht der Inhalt der gestohlenen Dateien, sondern die Art und Weise, wie sie erlangt wurden.
ShinyHunters hat in der Vergangenheit häufig Lösegeld gefordert, aber in diesem Fall hat Google keine entsprechenden Versuche gemeldet. Der Angriff hat gezeigt, dass selbst ein Technologiegigant mit einem leistungsstarken Sicherheitssystem anfällig für Social Engineering und Schwachstellen in der Lieferkette ist. Interessanterweise war die Grundlage für den Hack banale menschliche Leichtgläubigkeit – denn wenn die „IT-Abteilung“ darum bittet, etwas zu installieren, wird nicht jeder dreimal nachprüfen.
