O Google confirmou que um vazamento de dados recentemente divulgado de uma de suas instâncias do CRM Salesforce envolveu informações de possíveis clientes do Google Ads.
"Estamos escrevendo para informar sobre um evento que afetou um conjunto limitado de dados em uma das instâncias corporativas do Salesforce do Google usadas para comunicar com potenciais clientes de Ads," conforme uma notificação de vazamento de dados compartilhada com o site BleepingComputer.
Nossos registros indicam que informações básicas de contato comercial e notas relacionadas foram impactadas por este evento.
O Google diz que as informações expostas incluem nomes de empresas, números de telefone e "notas relacionadas" para que um agente de vendas do Google possa contatá-los novamente.
A empresa afirma que informações de pagamento não foram expostas e que não há impacto nos dados de Ads na Conta do Google Ads, Merchant Center, Google Analytics e outros produtos de Ads.
O vazamento foi conduzido por atores de ameaça conhecidos como ShinyHunters, que estiveram por trás de uma onda contínua de ataques de roubo de dados visando clientes do Salesforce.
O ShinyHunters disse que também estão trabalhando com atores de ameaça associados ao "Scattered Spider, responsáveis por obter inicialmente acesso aos sistemas visados.
"Como já dissemos repetidamente, o ShinyHunters e o Scattered Spider são um só e o mesmo," disse o ShinyHunters ao BleepingComputer.
"Eles nos fornecem acesso inicial e nós conduzimos o dump e a exfiltração das instâncias do Salesforce CRM. Exatamente como fizemos com o Snowflake."
Os atores de ameaça agora se referem a si mesmos como "Sp1d3rHunters", para ilustrar o grupo sobreposto de pessoas que estão envolvidas nesses ataques.
Como parte desses ataques, os atores de ameaça conduzem ataques de engenharia social contra funcionários para obter acesso a credenciais ou enganá-los para vincular uma versão maliciosa do aplicativo OAuth Data Loader do Salesforce ao ambiente Salesforce do alvo.
Os atores de ameaça então fazem o download de todo o banco de dados do Salesforce e extorquem as empresas por e-mail, ameaçando divulgar os dados roubados se um resgate não for pago.
Esses ataques ao Salesforce foram relatados inicialmente pelo Google Threat Intelligence Group (GTIG) em junho, com a empresa sofrendo o mesmo destino um mês depois.
O Databreaches.net relatou que os atores de ameaça já enviaram uma demanda de extorsão ao Google.
No entanto, se não for paga, não seria surpreendente que os atores de ameaça vazem os dados gratuitamente como uma forma de provocar a empresa.
ShinyHunters também disse que, desde então, mudaram para uma nova ferramenta personalizada que torna mais fácil e rápido roubar dados de instâncias comprometidas do Salesforce.
Em uma atualização, o Google recentemente reconheceu a nova ferramentaria, afirmando que viram scripts Python sendo usados nos ataques em vez do Salesforce Data Loader.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...