Google confirma violação de dados do Salesforce por ShinyHunters via golpe de Vishing

Em uma revelação recente, o Google confirmou que um de seus bancos de dados internos foi violado por uma conhecida organização cibercriminosa. O Google Threat Intelligence Group (GTIC), que já investigava as atividades do grupo conhecido como ShinyHunters (ou UNC6040), divulgou que seu próprio banco de dados do Salesforce foi acessado em junho. O ataque expôs informações pertencentes a pequenas e médias empresas clientes do Google.

A empresa afirmou que a violação foi contida rapidamente e que os hackers tiveram acesso apenas por um "pequeno período". Os dados roubados foram descritos como "básicos e amplamente disponíveis ao público", incluindo nomes de empresas, informações de contato e algumas notas relacionadas. Embora o Google não tenha divulgado a escala completa da violação, o incidente destaca uma crescente preocupação com a segurança de todas as empresas, incluindo gigantes da tecnologia.

Este ataque não foi um hack tradicional explorando uma falha de software, mas sim um esquema sofisticado de engenharia social . Os hackers usaram um método chamado vishing (phishing de voz), no qual se passavam pela equipe de suporte de TI de uma empresa em uma ligação telefônica.

Durante a ligação, eles enganaram um funcionário do Google para que aprovasse um aplicativo malicioso disfarçado de ferramenta legítima, o Salesforce Data Loader. Esse aplicativo fraudulento concedeu aos hackers acesso ao banco de dados, permitindo o roubo de informações.

De acordo com a pesquisa do Google Threat Intelligence Group (GTIG), o UNC6040 é responsável pelas invasões, enquanto um grupo separado, o UNC6240, lida com a extorsão, exigindo pagamentos em Bitcoin em até 72 horas. A empresa também alerta que hackers atualizaram suas ferramentas e podem estar planejando lançar um Site de Vazamento de Dados (DLS) para pressionar as vítimas.

“A notícia de que o Google sofreu uma violação de dados na recente onda de ataques executados pela ShinyHunters destaca que nenhuma organização está imune ao crime cibernético ” , disse William Wright , CEO da Closed Door Security. “Não importa se você é uma pequena empresa ou uma das principais empresas de tecnologia do mundo, todas as organizações são vulneráveis. ”

Ele também enfatizou que o treinamento dos funcionários e o uso de MFA são essenciais para bloquear esses ataques em seus estágios iniciais.

Esta violação faz parte de uma tendência maior de ataques do grupo ShinyHunters. No último ano, o Hackread.com relatou as ligações do grupo a vários incidentes de alto perfil, incluindo uma violação massiva no banco Santander em maio de 2024 e outra na Ticketmaster que afetou mais de 560 milhões de clientes em todo o mundo.

A ameaça ainda está ativa, já que a marca de moda de luxo Chanel também anunciou recentemente que sofreu uma violação de dados em julho, afetando alguns de seus clientes nos EUA por meio de um banco de dados Salesforce de terceiros. O relatório do Google também alerta que a ShinyHunters pode estar planejando intensificar suas atividades lançando um site público de vazamento de dados.

Em resposta ao ataque, o Google afirmou ter tomado medidas imediatas para proteger seus sistemas e notificar os clientes afetados. A empresa também aconselha outras empresas a fortalecerem suas defesas com melhor treinamento de funcionários, autenticação multifator e controles de acesso mais rigorosos para evitar ataques semelhantes de engenharia social.