Selon Ars Technica, Google a divulgué que son instance Salesforce a été compromise en juin, deux mois après que Google lui‑même a alerté sur une campagne de masse visant les clients Salesforce par ingénierie sociale, menée par des acteurs financiers.
Les attaquants ne passent pas par une faille logicielle mais par des appels téléphoniques 📞: ils se font passer pour l’IT du client et demandent de lier une application externe à l’instance Salesforce. Ils obtiennent de l’employé le code de sécurité à 8 chiffres requis par l’interface, qu’ils utilisent ensuite pour lier l’app et accéder à l’instance et aux données stockées. Cette méthode abuse d’une fonctionnalité de liaison d’apps tierces de Salesforce.
Google indique que l’accès illicite a duré une courte fenêtre temporelle avant d’être coupé, et que les données exfiltrées se limitaient à des informations professionnelles (noms d’entreprises, coordonnées) « largement publiques ». La campagne a touché de grandes organisations, dont (selon Bleeping Computer) Adidas, Qantas, Allianz Life, Cisco et des filiales LVMH (Louis Vuitton, Dior, Tiffany & Co.). Google n’a rendu publique la compromission que mardi, probablement parce que l’entreprise ne l’a appris que récemment, et Ars Technica estime que d’autres victimes restent non divulguées.
Côté attribution, Google associe les intrusions initiales à UNC6040 et les activités d’extorsion — parfois plusieurs mois après — à UNC6042, opérant sous le label ShinyHunters. Google pense que des acteurs utilisant la marque ‘ShinyHunters’ préparent un data leak site (DLS) pour accroître la pression sur les victimes liées aux brèches Salesforce.
TTPs observés:
- Ingénierie sociale/impersonation IT par téléphone pour obtenir un code de sécurité à 8 chiffres.
- Abus de la fonctionnalité de liaison d’apps externes de Salesforce pour intégrer une app et obtenir l’accès aux données.
- Campagne de mass‑compromise de comptes Salesforce.
- Extorsion différée (UNC6042/ShinyHunters) avec préparation d’un site de fuite pour pression accrue.
Il s’agit d’un article de presse spécialisé qui informe sur une campagne d’ingénierie sociale ciblant Salesforce, la compromission confirmée chez Google et les tendances d’extorsion associées.
🔗 Source originale : https://arstechnica.com/information-technology/2025/08/google-sales-data-breached-in-the-same-scam-it-discovered/