Google hat einen Datenschutzvorfall bestätigt, der eine interne Salesforce-Instanz betraf und Informationen über potenzielle Google-Ads-Kunden enthielt. Dieser interne Vorfall legte grundlegende Geschäftskontaktdaten und interne Notizen offen und wirft ernste Fragen zum Schutz von Unternehmensdaten auf.
Bedrohungsakteure und Angriffsmechanismen
Hinter dem Angriff steckt die Bedrohungsgruppe ShinyHunters. Sie verschaffte sich Zugang zu Googles Salesforce-Instanz und entwendete Firmennamen, Telefonnummern und zugehörige Notizen. Google betonte, dass keine Zahlungsdaten offengelegt wurden und die zentrale Ads-Infrastruktur – wie Ads-Konten, Merchant Center oder Analytics – nicht betroffen war.
ShinyHunters operiert unter dem Cyber-Alias UNC6040 (auch bekannt als UNC6240). Die Gruppe setzt häufig auf Vishing – also telefonbasiertes Phishing – indem sie sich als vertrauenswürdiger interner Support ausgibt, um Mitarbeiter zur Herausgabe von Zugangsdaten zu bewegen. Nach dem Eindringen in CRM-Systeme exfiltrieren die Angreifer Daten und leiten Erpressungsversuche ein.
Umfang und Taktiken des Angriffs
Obwohl Google keine genaue Zahl der betroffenen Datensätze genannt hat, behaupten ShinyHunters, rund 2,55 Millionen Einträge entwendet zu haben. Darunter könnten sich Duplikate befinden, aber das Volumen deutet darauf hin, dass potenziell Tausende Unternehmen betroffen sind.
In früheren, auf Salesforce abzielenden Kampagnen haben ShinyHunters Lösegeld gefordert, um die Veröffentlichung gestohlener Daten zu verhindern. Berichten zufolge zahlte ein Opfer vier Bitcoin – etwa 400.000 US-Dollar –, um eine öffentliche Datenveröffentlichung zu vermeiden. Ermittler sehen zudem Verbindungen zu anderen Cybercrime-Gruppen wie Scattered Spider, was auf ein größeres Bedrohungsnetzwerk hindeutet.
Reaktion des Unternehmens und Hintergründe
Google führte umgehend eine Folgenabschätzung durch und schränkte den Zugriff auf die kompromittierte Instanz ein. Das Unternehmen stellte klar, dass die Sicherheitsverletzung nicht auf eine Schwachstelle in Salesforce zurückzuführen ist. Die Angreifer nutzten ausschließlich ausgefeilte Social-Engineering-Taktiken. Zudem betonte Google, dass interne Tools und Dashboards im Zusammenhang mit Ads- und Analytics-Diensten nicht betroffen seien.
Warum dieser Vorfall für Unternehmen relevant ist
Der Vorfall zeigt, dass auch nicht-öffentliche Geschäftsdaten – wie grundlegende Kontaktinformationen und interne Notizen – für gezielte Phishing- oder Identitätsbetrugsangriffe genutzt werden können. Kleine und mittelständische Unternehmen, die Google-Dienste für die Kundenansprache nutzen, könnten nun einem erhöhten Risiko durch Bedrohungsakteure ausgesetzt sein, die über interne Kommunikationsdaten verfügen.
Darüber hinaus erhalten Unternehmen möglicherweise keine offizielle Benachrichtigung. Viele Datenschutzgesetze konzentrieren sich auf Verbraucherdaten, wodurch B2B-Informationen oft nicht unter die Meldepflicht fallen. Unternehmen sollten daher wachsam bleiben – auch ohne direkte Warnung.
Fazit
Das Google-Ads-CRM-Datenleck verdeutlicht die wachsenden Bedrohungen für CRM-Systeme und die interne Unternehmenskommunikation. Die Nutzung von Vishing und CRM-Zugriff durch ShinyHunters zeigt, wie Angreifer technische Barrieren durch menschliche Manipulation umgehen können. Unternehmen sollten die Schulung ihrer Mitarbeiter intensivieren, den Zugriff auf interne Tools überwachen und interne Vertriebsdaten als sensible Informationen behandeln. Dieser Vorfall erinnert daran, dass nicht-öffentliche Betriebsinformationen genauso wertvoll – und genauso gefährdet – sein können wie die Finanzdaten von Kunden.
0 Kommentare zu „Google Ads CRM-Datenpanne legt potenzielle Kundendaten offen“