Google har bekräftat ett dataintrång kopplat till sin Salesforce-miljö. Angriparna kom åt kontaktuppgifter från mindre företagskunder. Intrånget skedde i juni 2025 och påverkade interna team inom Google Ads och småföretagssegmentet. Angriparna fick tillgång till namn, e-postadresser, telefonnummer och interna anteckningar om företag i Googles CRM-system.
Ingen känslig ekonomisk information eller personnummer har läckt. Google informerade ändå de drabbade för att vara transparenta. Informationen lagrades i Salesforce – en molnbaserad CRM-plattform som används av företag världen över. Hotaktörerna utnyttjade stulna inloggningsuppgifter, troligen via phishing eller kapade OAuth-appar, för att få tillgång till systemet.
Den här attacken är del av en större global kampanj riktad mot företag som använder Salesforce via tredjepartsleverantörer.
ShinyHunters misstänks ligga bakom
Säkerhetsexperter kopplar intrånget till gruppen UNC6040, som i sin tur är kopplad till utpressningsnätverket ShinyHunters. Gruppen använder riktade phishingmejl och skadliga OAuth-appar för att kringgå säkerhetsåtgärder och ta sig in i molntjänster. När de väl fått tillgång extraherar de data och använder den för ekonomisk utpressning eller försäljning på darknet.
En annan grupp, UNC6261, hanterar utpressningsdelen efter att datan exfiltrerats från målsystemet. Liknande attacker har drabbat företag som Adidas, Qantas, Pandora och flera LVMH-varumärken – samtliga med tredjepartsanslutning till Salesforce. I alla fall har angriparna riktat in sig på CRM-data: kontaktlistor, kontonoteringar och försäljningsloggar.
Salesforce-plattformen i sig har inte brutits, men incidenten visar på svagheter i hantering av tredjepartssystem.
Lärdomar för cybersäkerhetsteam
Det här intrånget visar hur hotbilden kring SaaS-plattformar förändras. Fokus ligger alltmer på social ingenjörskonst. Google agerade snabbt och stängde ned åtkomst, granskade loggar och införde åtgärder – men skadan var redan skedd. Cybersäkerhetsansvariga måste nu se över hur CRM-system och molntjänster skyddas. Inloggningar och behörigheter måste kontrolleras regelbundet.
Tvåfaktorsautentisering, begränsad appåtkomst och kontinuerliga rättighetsgranskningar är avgörande. Personalutbildning om phishing är fortfarande ett av de mest effektiva skydden mot intrång av denna typ. Organisationer bör logga all åtkomst från tredjepart, övervaka aktiva appkopplingar och rotera OAuth-token regelbundet.
Även om denna attack verkar begränsad, pekar den på ett större problem. Säkerhet för SaaS kräver både tekniskt skydd och mänsklig vaksamhet.
0 svar till ”Google drabbas i omfattande dataläckage via Salesforce”