Massiivinen aalto kehittyneitä kyberhyökkäyksiä kohdistuu yrityksiin, jotka käyttävät Salesforce – ja teknologiajätti Google ovat nyt vahvistaneet, että heihinkin on vaikuttanut.
Suuret tuotemerkit kärsivät
Kansainväliset yritykset, jotka Dior, Allianz, Adidas, Chanel, Pandora, Qantas, Air France ja KLM ovat olleet uhreja.. Nyt Google on myös paljastanut, että yksi heidän Salesforce-tietokannat, joka sisälsi pienten ja keskisuurten yritysten yhteystietoja, vaarantui kesäkuussa 2025.
Kasvava uhka: UNC6040 ja sosiaalinen manipulointi tarkastelussa
Googlen uhkatiedusteluryhmä (GTIG) on tunnistanut hakkeriryhmän nimellä UNC6040. He käyttävät edistynyttä sosiaalisen manipuloinnin muotoa, jossa työntekijät soittavat teeskentelemällä olevansa IT-tuki (äänihuijaus tai "vising"“Puhelun aikana heidät huijataan asentamaan väärennetty versio Salesforce-tietojen latausohjelma sovellusyhteyden kautta, mikä antaa hyökkääjille laajan pääsyn molempiin Salesforce ja muita pilvipalveluita, kuten Okta ja Microsoft 365.
Hyökkäysten infrastruktuurilla on yhteisiä piirteitä löyhästi organisoidun kyberrikollisverkoston kanssa.“Com“".
Tietojen vuotaminen ja kiristys
Google raportoi, että noin 20 organisaatiota on kärsinyt, ja useissa tapauksissa tietoja on vuotanut. Joissakin tietomurroissa tietoja on vuotanut pieniä määriä ennen resurssin tuhoamista – toisissa tapauksissa kokonaisia tietokantataulukoita on ladattu.
Joissakin tapauksissa kiristys on alkanut vasta useita kuukausia tietomurron jälkeen – usein toimijoiden väittäessä edustavansa pahamaineista ryhmää. ShinyHunters, mikä lisää uhrin syyllisyyden taakkaa.
Google ja Salesforce vastaavat
Google on kiirehtinyt analysoimaan ja rajoittamaan pääsyä tietokantaan ja havainnut, että vain julkisesti saatavilla olevia yritystietoja, kuten nimiä ja yhteystietoja, varastettiin – mutta ei arkaluonteisia tietoja.
Salesforce korostaa, että hyökkäys ei tapahtunut heidän alustansa haavoittuvuuksien kautta, vaan käyttäjien kohdennetun manipuloinnin kautta. He huomauttavat, että vain rajallinen määrä asiakkaita kärsi, ja neuvovat yrityksiä olemaan asentamatta tuntemattomia verkkoon yhdistettyjä sovelluksia tai syöttämättä koodeja ilman vahvistusta.
Tietoturva-asiantuntijoiden suositukset – mitä organisaatioiden tulisi tehdä?
Vastustaakseen tätä muotoa hyökkäys kehottaa asiantuntijoita koulutuksen, teknisten toimenpiteiden ja säännöllisen valvonnan yhdistelmällä:
| Mitata | Kuvaus |
|---|---|
| Koulutus ja tietoisuuden lisääminen | Kouluta työntekijöitä vising- ja yhdistettyjen sovellusten riskeistä – erityisesti Salesforce-järjestelmänvalvojia. |
| Rajoitetut sovellusoikeudet | Määritä “API käytössä” ja käyttöoikeudet yhdistettyjen sovellusten lisäämiseen vain tarvittaville ja luotettaville järjestelmänvalvojille. |
| Valkoisten lista ja yhteyksien hallinta | Ota käyttöön prosessit yhdistettyjen kolmannen osapuolen sovellusten hyväksymistä, sallittujen listaamista ja valvontaa varten. |
| IP- ja MFA-suojaus | Ota käyttöön IP-rajoitukset, estä pääsy kaupallisten VPN-verkkojen (esim. Mullvad) kautta ja vaadi monivaiheista todennusta (MFA). |
| Seuranta ja automaattinen reagointi | Käytä Salesforce Shieldiä epätavallisten latausten havaitsemiseen, tapahtumapohjaisten suojauskäytäntöjen luomiseen ja lokien tarkistamiseen poikkeavuuksien varalta. |








