Google confirmă o breșă de securitate ce a expus datele potențialilor clienți Google Ads. Cum s-a întâmplat, de fapt, totul?

Google a recunoscut că un incident de securitate ce a vizat un sistem Salesforce intern a dus la expunerea datelor de contact ale unor clienți potențiali Google Ads, fără a compromite, însă, informații financiare.

Google a confirmat că o breșă de securitate a afectat o instanță internă de Salesforce CRM utilizată pentru a comunica cu potențiali clienți Google Ads.

Breșa a vizat date de contact, nu și informații financiare de pe Google Adds

Potrivit notificării transmise și obținute de BleepingComputer, informațiile compromise includ nume de companii, numere de telefon și note interne utilizate de agenții de vânzări pentru contacte ulterioare.

Compania a subliniat că datele financiare nu au fost afectate, iar platformele precum Google Ads, Merchant Center sau Google Analytics nu au suferit pierderi de date.

Incidentul este atribuit, de altfel, grupării cibernetice ShinyHunters, implicată într-o serie de atacuri recente asupra clienților Salesforce. Atacatorii susțin că au obținut aproximativ 2,55 milioane de înregistrări, fără a preciza câte dintre acestea sunt duplicate.

Atacuri coordonate între ShinyHunters și Scattered Spider

Potrivit declarațiilor date presei, ShinyHunters colaborează cu gruparea Scattered Spider, responsabilă pentru obținerea accesului inițial la sistemele vizate.

Modelul lor de atac presupune ca Scattered Spider să faciliteze intrarea, iar ShinyHunters să se ocupe de descărcarea și exfiltrarea datelor, tactică aplicată și în cazul incidentului Snowflake.

Recent, grupările au început să se prezinte sub denumirea comună Sp1d3rHunters, indicând suprapunerea membrilor implicați.

Printre metodele folosite se numără atacurile de tip inginerie socială asupra angajaților, pentru a obține date de autentificare sau pentru a-i determina să conecteze o versiune compromisă a aplicației Salesforce Data Loader OAuth la infrastructura companiei vizate.

După ce obțin acces, atacatorii descarcă baza de date Salesforce și lansează tentative de șantaj, amenințând cu publicarea informațiilor dacă nu se plătește o răscumpărare.

Atacurile asupra Salesforce au fost raportate pentru prima dată în iunie de echipa Google Threat Intelligence Group (GTIG).

Google a devenit ținta acestui tip de incident în luna următoare. Potrivit Databreaches.net, ShinyHunters ar fi trimis un mesaj către Google solicitând plata a 20 de Bitcoin (circa 2,3 milioane de dolari) pentru a nu divulga datele. Gruparea a declarat ulterior că solicitarea a fost trimisă „în glumă” și că nu intenționează să negocieze.

Într-o evoluție recentă, ShinyHunters a anunțat folosirea unui instrument personalizat care permite extragerea mai rapidă a datelor din instanțele Salesforce compromise. Google a confirmat, de asemenea, că în locul aplicației Salesforce Data Loader au fost detectate scripturi Python în cadrul acestor atacuri.