Google a déclaré que son instance Salesforce faisait partie de ceux qui ont été compromis. La violation s’est produite en juin, mais Google ne l’a révélé mardi, probablement que parce que la société ne l’a appris que récemment.

« L’analyse a révélé que les données ont été récupérées par l’acteur de menace pendant une petite fenêtre de temps avant la coupe de l’accès », a indiqué la société.

Les données récupérées par les attaquants étaient limitées aux informations commerciales telles que les noms d’entreprise et les coordonnées, ce qui, selon Google, était déjà «largement publique».

Google a initialement attribué les attaques à un groupe tracé sous le nom de UNC6040. La société a poursuivi en disant qu’un deuxième groupe, UNC6042, s’est engagé dans des activités d’extorsion, «parfois plusieurs mois après» les intrusions UNC6040. Ce groupe se marque sous le nom de Shinyhunters.

« En outre, nous pensons que les acteurs de menace utilisant la marque » Shinyhunters « peuvent se préparer à dégénérer leurs tactiques d’extorsion en lançant un site de fuite de données (DLS) », a déclaré Google. «Ces nouvelles tactiques visent probablement à accroître la pression sur les victimes, y compris celles associées aux récentes violations de données liées à Salesforce UNC6040.»

Avec autant d’entreprises tombant sur cette arnaque, y compris Google, qui n’a révélé que la violation deux mois après cela, les chances sont bonnes qu’il y en a beaucoup d’autres que nous ne connaissons pas. Tous les clients Salesforce doivent auditer soigneusement leurs instances pour voir quelles sources externes y ont accès. Ils devraient également mettre en œuvre l’authentification multifactorielle et former le personnel comment détecter les escroqueries avant de réussir.