Chanel-angrep via Salesforce avslører amerikanske kundedata i ShinyHunters-hack

Chanel har bekreftet et datainnbrudd forårsaket av uautorisert tilgang til selskapets kundeservicedatabase i Salesforce. Angrepet, som skjedde i juli 2025, avslørte kontaktinformasjon til kunder som hadde vært i kontakt med Chanels amerikanske kundesenter.

Datainnbruddet eksponerte navn, e-postadresser, telefonnumre og postadresser. Chanel opplyser at ingen økonomisk informasjon ble berørt. Selskapet startet en intern etterforskning, aktiverte beredskapsprotokoller og varslet berørte personer.

ShinyHunters stod bak angrepet

Utpressingsgruppen ShinyHunters stod bak angrepet ved å gå gjennom en tredjepartsleverandør. Gruppen brukte stemmebasert phishing (vishing) for å utgi seg for å være IT-støtte og overbeviste ansatte om å installere en ondsinnet OAuth-applikasjon. Når tilgang ble gitt, hentet angriperne data fra det tilkoblede Salesforce-miljøet.

Denne metoden lot dem omgå vanlige sikkerhetstiltak som flerfaktorautentisering, og få tilgang til kundedata via legitime API-funksjoner.

Del av en større kampanje

Angriperne siktet seg også inn på andre luksus- og reisebedrifter i denne bølgen av datainnbrudd. De kompromitterte Salesforce-integrasjoner på tvers av flere merkevarer som en del av en bredere kampanje som utnytter skyplattformer gjennom villedende app-installasjoner og stjålne legitimasjoner.

Angriperne brukte ofte realistiske app-navn og grensesnitt for å redusere mistanke. I noen tilfeller ga OAuth-nøkler langvarig tilgang, noe som gjorde det vanskelig å oppdage innbruddet før store mengder data var stjålet.

Hva ble lekket

Selv om Chanel bekreftet at ingen betalingsinformasjon ble lekket, inkluderte den kompromitterte informasjonen:

• Fullt navn
• E-postadresse
• Fysisk adresse
• Telefonnummer
• Saks-ID-er eller referansenummer fra tidligere kundekontakt

Disse dataene kan brukes i målrettede phishing-angrep, identitetssvindel eller annen sosial manipulering.

Sikkerhetslærdom og bransjerisiko

Denne hendelsen viser den økende risikoen ved tredjepartsleverandører og skybaserte CRM-plattformer. Selv uten en sårbarhet i Salesforce-systemet, klarte angriperne å utnytte autoriserte tilgangspunkter gjennom sosial manipulering. Luksusmerker og globale selskaper er spesielt attraktive mål på grunn av verdien av kundedataene deres.

For å forhindre lignende hendelser bør selskaper:

• Begrense tredjeparts OAuth-tilgang
• Gjennomføre regelmessige revisjoner av tilkoblede applikasjoner
• Trene ansatte i å gjenkjenne phishing og vishing
• Bruke systemer for å oppdage unormal API-aktivitet
• Innføre strenge tilgangskontroller og godkjenningsrutiner

Konklusjon

Datainnbruddet hos Chanels Salesforce-integrasjon viser en voksende trend der cyberkriminelle angriper skybaserte tjenester ved hjelp av sosial manipulering. Innbruddet førte til alvorlig omdømmerisiko og sikkerhetsutfordringer ved å avsløre kunders kontaktinformasjon, selv om betalingsdata ikke ble berørt. Bedrifter som bruker CRM-plattformer må være ekstra på vakt og sikre både tekniske og menneskelige forsvarsmekanismer.