Googleは、最近明らかになったSalesforce CRMインスタンスのデータ侵害が、潜在的なGoogle広告顧客の情報に関係していたことを確認しました。
「Googleの法人向けSalesforceインスタンスの1つで、広告の見込み顧客とのコミュニケーションに使用しているものにおいて、限定的なデータが影響を受けた事象についてご連絡いたします」と、BleepingComputerに共有されたデータ侵害通知には記載されています。
「当社の記録によると、基本的なビジネス連絡先情報および関連メモがこの事象の影響を受けました。」
Googleによると、漏洩した情報には、企業名、電話番号、およびGoogleの営業担当者が再度連絡するための「関連メモ」が含まれています。
同社は、支払い情報は漏洩しておらず、Google広告アカウント、Merchant Center、Google Analytics、その他の広告製品の広告データには影響がないと述べています。
この侵害は、Salesforceの顧客を標的とした継続的なデータ窃盗攻撃の背後にいるShinyHuntersとして知られる脅威アクターによって行われました。
ShinyHuntersはBleepingComputerに対し、「Scattered Spider」と関係する脅威アクターとも協力しており、彼らが最初に標的システムへの初期アクセスを獲得したと語りました。
「これまで何度も言ってきたように、ShinyHuntersとScattered Spiderは同一人物です」とShinyHuntersはBleepingComputerに語りました。
「彼らが初期アクセスを提供し、私たちがSalesforce CRMインスタンスのダンプと持ち出しを行います。Snowflakeの時と同じです。」
脅威アクターは現在、自分たちを「Sp1d3rHunters」と呼び、これらの攻撃に関与している人々の重なり合うグループを示しています。
これらの攻撃の一環として、脅威アクターは従業員に対してソーシャルエンジニアリング攻撃を行い、認証情報を入手したり、標的のSalesforce環境に悪意のあるバージョンのSalesforce Data Loader OAuthアプリをリンクさせたりします。
その後、脅威アクターはSalesforceデータベース全体をダウンロードし、企業に対してメールで脅迫し、身代金が支払われない場合は盗んだデータを公開すると脅します。
これらのSalesforce攻撃は、Google Threat Intelligence Group(GTIG)によって6月に最初に報告され、1か月後にGoogleも同様の被害を受けました。
Databreaches.netは、脅威アクターがすでにGoogleに対して恐喝要求を送ったと報じています。しかし、支払いがなされない場合、脅威アクターが同社を嘲笑するためにデータを無料で流出させることも十分に考えられます。
ShinyHuntersはまた、BleepingComputerに対し、侵害されたSalesforceインスタンスからデータをより簡単かつ迅速に盗み出せる新しいカスタムツールに切り替えたと語りました。
最新情報として、Googleは最近この新しいツールについて認め、攻撃にはSalesforce Data Loaderの代わりにPythonスクリプトが使用されていることを確認しています。
