ShinyHunters slår til igjen: 500 000 Salesforce-data lekket fra eiendomsgigant

En enkelt telefonsamtale 1. mai ga hackerne fotfeste i selskapets Salesforce-miljø. Etter at løsepengeforhandlingene strandet, ble hele datasettet publisert på gruppens lekkasjested på det mørke nettet.

Cushman & Wakefield, et av verdens største selskaper innen næringseiendom, har bekreftet en datasikkerhetshendelse forårsaket av vishing, altså svindel via telefonsamtale der angripere utgir seg for å være intern IT-support. I en uttalelse gjengitt av The Register skriver selskapet at de har aktivert responsprotokoller og engasjert eksterne sikkerhetseksperter for å granske hendelsen.

ShinyHunters hevder selv å ha stjålet over 500 000 Salesforce-poster med personopplysninger og interne forretningsdata. Varslingstjenesten Have I Been Pwned har verifisert at rundt 310 000 kontoer er kompromittert, og at det lekkede materialet i hovedsak består av forretningsinformasjon som navn, e-postadresser, telefonnumre, fysiske adresser og stillingstitler.

En kjent aktør med Salesforce i sikte

ShinyHunters har vært aktiv siden 2019 og driver utpressing ved å stjele data og kreve betaling for å la være å publisere innholdet. Det siste året har gruppen stått bak en bølge av angrep mot Salesforce-kunder, og har blant annet rammet Google, Cisco, Adidas, Qantas, Allianz, Workday og flere luksusmerker under LVMH-paraplyen.

Metoden er nær identisk fra angrep til angrep. En ansatt blir oppringt av noen som utgir seg for å være IT-support, og lures enten til å oppgi pålogginger eller til å godkjenne en ondsinnet tilkoblet app som gir angriperen tilgang til Salesforce-miljøet. Derfra hentes store mengder kundedata ut.

I mars 2026 sendte ShinyHunters en åpen trussel til flere hundre rammede Salesforce-kunder: betal en mindre sum, eller bli neste navn i en publiseringsbølge.

Også norske virksomheter i risikosonen

Den globale kampanjen har så langt ikke rammet kjente norske selskaper offentlig, men Salesforce har en solid posisjon i det norske bedriftsmarkedet, særlig blant større virksomheter.

Sikkerhetsdirektør Lars Eirik Berg i Semaphore har tidligere omtalt den pågående angrepskampanjen mot Salesforce-kunder som svært alvorlig. Til Techwatch sa han at mengden data angriperne påstår å sitte med per kunde tyder på et meget alvorlig angrep.

For norske Salesforce-kunder er rådet fra sikkerhetsmiljøet å gjennomgå loggene for mistenkelig aktivitet, rotere API-nøkler og tokens for tredjepartsintegrasjoner, og skjerpe opplæringen i telefonbasert sosial manipulasjon. Vishing krever ingen tekniske sårbarheter, kun en ansatt som tror personen i andre enden faktisk er en kollega fra IT.

To grupper, ett offer

Et uvanlig trekk ved Cushman & Wakefield-saken er at en annen utpressergruppe, Qilin, listet selskapet på sitt eget lekkasjested 4. mai, bare tre dager etter ShinyHunters sitt opprinnelige innbrudd. Det kan tyde på en separat hendelse, eller på at den opprinnelige tilgangen ble videresolgt i kriminelle markeder på det mørke nettet.

Cushman & Wakefield har ikke offentliggjort om selskapet har betalt løsepenger. I uttalelsen heter det at systemer og drift fungerer normalt, og at granskningen pågår.