Google bestätigt: 2,5 Mio. Ads-Datensätze über Salesforce geleakt

Am 6. August hat Google bestätigt, dass rund 2,5 Millionen Kundendatensätze von Google Ads offengelegt wurden. Ursache war eine Kompromittierung des Salesforce-CRM-Systems des Unternehmens.  Der Angriff, der der Cybercrime-Gruppe ShinyHunters (UNC6040) zugeschrieben wird, erfolgte über ausgeklügelte Social-Engineering-Taktiken – ein deutlicher Weckruf für den sicheren Umgang mit CRM-Systemen, insbesondere in kleinen und mittelständischen Unternehmen (KMU). 

Wie konnte es dazu kommen? 

Das Google Threat Intelligence Group (GTIG) gab bekannt, dass die Angreifer eine gezielte Kampagne gegen eine unternehmensinterne Salesforce-Instanz gestartet haben, die zur Verwaltung von Kundenkontaktdaten und zugehörigen Notizen verwendet wurde. Über Voice-Phishing (Vishing), bei dem sich die Täter als interner IT-Support ausgaben, wurden Mitarbeitende dazu gebracht, eine manipulierte Salesforce-Data-Loader-App zu autorisieren. So erhielten die Angreifer zeitweise Zugriff auf sensible CRM-Daten, bevor Google den Zugriff sperrte. 

Obwohl die gestohlenen Daten auf grundlegende Geschäftsinformationen – Firmennamen, E-Mail-Adressen, Telefonnummern und Notizen – beschränkt waren, ist bekannt, dass ShinyHunters derartige Vorfälle oft in Erpressungskampagnen und den Verkauf von Datensätzen auf Untergrundmärkten eskaliert. 

Einordnung und Bedrohungslage 

Der Vorfall bei Google ist Teil eines wachsenden Musters gezielter Angriffe auf CRM-Umgebungen. Ähnliche Attacken haben bereits Unternehmen wie Pandora, Qantas, KLM, Adidas, Chanel und Cisco getroffen – häufig unter Einsatz von Identitätsmissbrauch und Ausnutzung verbundener Anwendungen. 

Google bestätigte zudem, dass die Angreifer – UNC6040 bzw. das verbundene Cluster UNC6240 – nach dem Erstzugriff Erpressungsversuche unternahmen, die teilweise erst Wochen später in Ransomware- oder Data-Leak-Kampagnen münden. 

Implikationen für KMU in der DACH-Region 

Gerade für KMU in Deutschland, Österreich und der Schweiz ist dieser Fall ein Warnsignal: Cloudbasierte CRM-Systeme sind attraktive Angriffsziele. Selbst vermeintlich harmlose Geschäftsdaten können für täuschend echte Phishing-Mails oder weiterführende Angriffe missbraucht werden. Die wichtigste Erkenntnis: Das Vertauen in eine Plattform ersetzt keine eigene Sicherheitsstrategie. 

Empfohlene Maßnahmen für IT-Manager 

• Realistische Social-Engineering-Simulationen – inklusive Vishing – zur Schulung der Mitarbeitenden durchführen 
• Drittanbieter-Integrationen überprüfen und einschränken, insbesondere Verbindungen über den Salesforce Data Loader 
• Multi-Faktor-Authentifizierung (MFA) für alle CRM-Zugänge erzwingen 
• Externe Threat-Intelligence-Quellen auf neue Taktiken und Akteure überwachen 
• Klar definierte Incident-Response-Pläne für schnelle Eindämmung im Ernstfall etablieren 

Die Rolle von MDR

Ein effektiver Managed-Detection-and-Response-Service wie NovaMDR™ überwacht nicht nur die Aktivitäten von Bedrohungsakteuren, sondern kombiniert auch menschliche Analyse mit Echtzeit-Monitoring – insbesondere in Cloud-Plattformen wie Salesforce – und sorgt so für eine frühzeitige Eindämmung, bevor es zu einem gravierenden Datenabfluss kommt.