O Google divulgou uma violação de dados significativa envolvendo uma de suas instâncias corporativas do Salesforce, comprometendo os dados do cliente vinculados à sua plataforma Google Ads.
O Google não revelou o número exato de pessoas afetadas, mas de acordo com ShinyHunters, que falou com o Cyber Security News, a violação expôs cerca de 2,5 milhões de registros (aprox.). Ainda não se sabe se algumas dessas entradas são duplicadas.
O incidente, detectado em junho de 2025, foi perpetrado por um grupo de ameaças com motivação financeira rastreado como UNC6040, conhecido por suas táticas avançadas de phishing de voz (vishing).
O Google notificou o GBHackers News de que as notificações por e-mail foram concluídas para os clientes afetados em 8 de agosto de 2025, após um anúncio inicial em 5 de agosto.
O Instância do Salesforce violada informações de contato armazenadas e notas relacionadas para pequenas e médias empresas que usam o Google Ads. De acordo com o Grupo de Inteligência de Ameaças (GTIG) do Google, os dados roubados incluíam informações comerciais básicas e amplamente disponíveis publicamente, como:
- Nomes de empresas
- Detalhes de contato (por exemplo, endereços de e-mail, números de telefone)
- Notas relacionadas armazenadas na instância do Salesforce
Enquanto o Google tem Afirmou que os dados comprometidos eram limitados em escopo e principalmente acessíveis ao público, a violação levanta preocupações devido ao potencial dessas informações serem usadas em esquemas de extorsão subsequentes.
O agente da ameaça recuperou os dados durante uma breve janela antes que o Google revogasse o acesso, embora detalhes específicos sobre o volume de registros afetados não tenham sido divulgados.
De acordo com um Cyber Security News relatório, ShinyHunters exigiu 20 Bitcoins (aproximadamente US$ 2,3 milhões) do Google. No entanto, o agente da ameaça afirmou mais tarde que isso foi enviado “para o lulz” e não como uma tentativa séria de extorsão.
As ameaças de ataque e extorsão
A violação foi executada por Caçadores brilhantes, que também afirmam colaborar com agentes de ameaças associados ao Scatter Spider, agora se referindo a si mesmos coletivamente como “Sp1d3rHunters”.
Esse grupo é responsável por obter acesso inicial aos sistemas direcionados, permitindo que os ShinyHunters realizem a exfiltração de dados dos ambientes Salesforce.
Os invasores usaram uma versão modificada do aplicativo Data Loader da Salesforce, autorizada por meio de phishing de voz sofisticado (vishing) em que os funcionários foram enganados para aprovar um aplicativo conectado mal-intencionado.
O GTIG observa que o grupo evoluiu suas táticas, mudando para scripts Python personalizados e usando IPs Mullvad VPN ou TOR para mascarar suas atividades.
O ShinyHunters foi vinculado a esforços de extorsão rastreados como UNC6240, entrando em contato com as vítimas por e-mail de endereços como shinycorp@tuta[.]com e shinygroup@tuta[.]com, exigindo pagamentos em Bitcoin em 72 horas.
O GTIG alerta que o grupo pode escalar lançando um site de vazamento de dados (DLS) para pressionar as vítimas, incluindo aquelas afetadas pela violação do Google Ads.
As tentativas de extorsão geralmente ocorrem meses após o roubo inicial, sugerindo colaboração com outros atores para monetizar dados roubados.
Os destaques do ataque UNC6040 métodos refinados, incluindo o uso de contas comprometidas de organizações não relacionadas para registrar aplicativos maliciosos e coleta automatizada de dados via TOR.
O GTIG também observou sobreposições de infraestrutura com “The Com”, um coletivo de crimes cibernéticos vagamente organizado, indicando possíveis táticas compartilhadas entre atores associados visando plataformas de nuvem como Okta e Microsoft 365.
O Google respondeu prontamente, conduzindo uma análise de impacto e implementando mitigações para proteger a instância afetada do Salesforce.
A empresa enfatiza que a violação resultou de engenharia social, não de uma vulnerabilidade na plataforma da Salesforce. Para evitar incidentes semelhantes, o GTIG recomenda:
- Acesso com privilégios mínimos: Restrinja as permissões para ferramentas como o Data Loader, particularmente a permissão “API habilitada”.
- Gerenciamento de aplicativos conectados: Implemente a lista de permissões e restrinja permissões poderosas como “Personalizar aplicativo” a administradores confiáveis.
- Restrições de IP: Defina intervalos de IP confiáveis para bloquear o acesso não autorizado de VPNs ou TOR.
- Módulo Salesforce: Use políticas de segurança de transação e monitoramento de eventos para detectar atividades suspeitascomo grandes downloads de dados.
- Autenticação multifator (MFA): Aplique a MFA universalmente e eduque os usuários sobre táticas de engenharia social para evitar o desvio da MFA.
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIn, &Xpara obter atualizações instantâneas!