Das FBI hat eine Warnung vor Salesforce-Datendiebstahl herausgegeben, der mit zwei Bedrohungsgruppen, UNC6040 und UNC6395, in Verbindung gebracht wird. Beide Gruppen nutzten Salesforce-OAuth-Apps, um große Mengen sensibler Daten von mehreren Organisationen zu stehlen. Die Vorfälle verdeutlichen die wachsenden Risiken für Unternehmen, wenn Angreifer vertrauenswürdige Zugriffstokens missbrauchen.
So nutzten die Hacker Salesforce aus
UNC6040 setzte auf Social Engineering und Vishing-Taktiken. Angreifer brachten Mitarbeiter dazu, gefälschte Salesforce-OAuth-Apps zu installieren, darunter manipulierte Versionen von Data Loader. Sobald die Apps verbunden waren, erhielten die Hacker Zugriff auf Konten und Kontakte und konnten wertvolle Firmendaten extrahieren.
UNC6395 nutzte gestohlene OAuth-Tokens von Drittanbieterdiensten, um auf Salesforce zuzugreifen. Kompromittierte Tokens aus Integrationen wie Salesloft und Drift ermöglichten es den Angreifern, normale Login-Kontrollen zu umgehen. In einigen Fällen enthielten offengelegte Supportdaten Passwörter, AWS-Schlüssel und andere sensible Informationen.
Auswirkungen auf Organisationen
Salesforce-Datendiebstahl stellt für Unternehmen erhebliche Risiken dar. Hacker griffen Kundendaten, interne Kommunikation und Finanzinformationen an. Die gestohlenen Daten wurden später mit Erpressungskampagnen in Verbindung gebracht, was die finanziellen und reputationsbezogenen Bedrohungen für die Opfer verstärkte.
Berichten zufolge waren namhafte Unternehmen aus den Bereichen Einzelhandel, Technologie und Mode betroffen. Die Angriffsmethode zeigt, wie OAuth-basierter Zugriff selbst sichere Umgebungen untergraben kann. Sobald Angreifer gültige Tokens erlangen, können sie agieren, ohne herkömmliche Login-Warnungen auszulösen.
Präventive Maßnahmen
Das FBI empfiehlt mehrere Maßnahmen, um zukünftige Risiken zu verringern:
- Salesforce-OAuth-Anwendungen prüfen und ungenutzte oder verdächtige Apps entfernen.
- OAuth-Tokens widerrufen, die von kompromittierten Drittanbietern ausgestellt wurden.
- Strenge Zugriffskontrollen für sensible Supportdaten einführen.
- Ungewöhnliche Datenexporte oder unautorisierte Nutzung von Supportsystemen überwachen.
Fazit
Die FBI-Warnung zum Salesforce-Datendiebstahl zeigt, wie Hacker vertrauenswürdige Werkzeuge ausnutzen. Durch den gezielten Angriff auf OAuth-Tokens und -Anwendungen umgehen sie Standardschutzmaßnahmen und erhalten direkten Zugriff auf wertvolle Daten. Unternehmen müssen proaktiv handeln, ihre Überwachung stärken und Token-Risiken reduzieren, um sich vor ähnlichen Angriffen zu schützen.
0 Kommentare zu „FBI warnt vor Salesforce-Datendiebstahl“