ShinyHunters заявляют о новой атаке на сайты Salesforce Experience Cloud
Клиенты Salesforce снова стали целью группы ShinyHunters — или, по крайней мере, так утверждает сама группа.
Злоумышленники модифицировали и использовали легитимный инструмент
В субботу Salesforce подтвердил, что его команда безопасности выявила кампанию атак, проводимую неизвестными злоумышленниками с целью доступа к данным клиентов.
Компания заявила, что атакующие не используют уязвимость в платформе Salesforce. Вместо этого они применяют модифицированную версию инструмента с открытым исходным кодом Aura Inspector — изначально разработанного Mandiant — для следующих действий:
- Массового сканирования публичных сайтов Experience Cloud
- Исследования их API-эндпоинта /s/sfsites/aura
- Запроса объектов Salesforce CRM без авторизации, если профиль гостевого пользователя имеет избыточные разрешения.
Salesforce настоятельно рекомендовал клиентам пересмотреть разрешения для гостевых пользователей и внедрить модель доступа «Наименьших привилегий», ограничив доступ гостей только к необходимым и явно предоставленным записям.
Кроме того, необходимо внести изменения, чтобы неаутентифицированные пользователи не могли выполнять запросы данных через API-эндпоинты, а также просматривать или перечислять внутренних пользователей. Наконец, компания посоветовала отключить опцию самостоятельной регистрации, если она не требуется.
«[Отключение публичных API] — это самое эффективное единичное изменение, которое вы можете сделать. Оно закрывает эндпоинт Aura для неавторизованных API-запросов, что является именно тем вектором атаки, который использовался в этой кампании», — заявила компания.
Salesforce также рекомендовал клиентам уведомить службу поддержки компании, если они полагают или подозревают, что их среда была затронута. Возможные индикаторы компрометации можно найти в журналах мониторинга событий Aura и включают запросы к объектам, не предназначенным для публичного доступа, неожиданные всплески активности с незнакомых IP-адресов или доступ вне обычных рабочих часов.
ShinyHunters: Старый противник Salesforce
Salesforce сообщает, что данные, собранные в этих атаках, обычно включают имена и номера телефонов, которые могут быть использованы для последующих целевых кампаний социальной инженерии и вишинга.
Но более актуальной проблемой для потенциально пострадавших компаний является обычная тактика действий ShinyHunters: кибершантаж, то есть требование «заплатить, чтобы украденные данные не были обнародованы».
Группа заявила об утечке данных на своём сайте и сообщила Bleeping Computer, что с сентября 2025 года они взламывали компании с небезопасными настройками контроля доступа в Experience Cloud для гостевых пользователей. Однако в январе 2026 года, после выхода инструмента AuraInspector, они модифицировали и начали его использовать. Этот инструмент был создан, чтобы помочь защитникам выявлять и проверять ошибочные настройки контроля доступа в рамках Salesforce Aura.
Ранее группа атаковала клиентов Salesforce через сторонние интеграции (Salesloft / Drift) и подключённые приложения (Gainsight).
ShinyHunters заявили, что на этот раз похитили данные примерно у 100 известных компаний.
Подпишитесь на нашу экстренную e-mail рассылку, чтобы всегда быть в курсе последних утечек данных, уязвимостей и киберугроз. Подписаться можно здесь!