Startsida Teknologi ShinyHunters slår till igen: 500 000 Salesforce-konton stulna från fastighetsjätte

ShinyHunters slår till igen: 500 000 Salesforce-konton stulna från fastighetsjätte

ShinyHunters slår till igen: 500 000 Salesforce-konton stulna från fastighetsjätte
Levererat av Teksajten

Ett enda bluffsamtal till en anställd räckte för att ge hackargruppen tillgång till hela kunddatabasen.

Den 1 maj ringde en person upp en anställd på fastighetsjätten Cushman & Wakefield och utgav sig för att vara från företagets IT-support. Några timmar senare hade hackargruppen ShinyHunters laddat ner runt 500 000 poster ur bolagets Salesforce-miljö, enligt vad gruppen själv har uppgett.

När bolaget vägrade förhandla före utpressningsdeadline den 6 maj publicerade gruppen delar av materialet som bevis. Två dagar tidigare, den 4 maj, hade dessutom utpressningsgruppen Qilin separat lagt upp Cushman & Wakefield på sin egen läcksida, vilket gör att två kriminella aktörer nu samtidigt utger sig för att sitta på företagets data.

Cushman & Wakefield, som är en av världens största aktörer inom kommersiell fastighetsförmedling, bekräftar händelsen i ett uttalande men håller fast vid att intrånget var begränsat. ”Vi har aktiverat våra responsprotokoll, vilket bland annat innebär att vi har vidtagit åtgärder för att begränsa den otillåtna aktiviteten och engagerat externa expertrådgivare”, uppger en talesperson för bolaget.

Företaget vill varken bekräfta eller dementera ShinyHunters uppgift om volymen, men säger att systemen fungerar normalt.

Så lurar ShinyHunters sig in

Gruppen har varit aktiv sedan 2019 och ligger bakom flera av de senaste årens största dataläckor, bland annat intrången hos Snowflake-kunder som AT&T och Ticketmaster. Sedan sommaren 2025 har Salesforce-kunder varit huvudmålet, och gruppen har sagt sig ha stulit data från omkring 100 högprofilerade företag, däribland Sony, AMD och LastPass.

Metoden kallas vishing, alltså röstbedrägeri via telefon. En angripare ringer upp en anställd, utger sig för att vara IT-support eller leverantör, skapar tidspress med påhittade säkerhetsärenden och pressar fram inloggningsuppgifter eller godkännanden för flerfaktorsautentisering. I Salesforce-kampanjen har gruppen lurat anställda att installera en falsk version av plattformens verktyg Data Loader, och har även använt en modifierad version av säkerhetsbolaget Mandiants verktyg AuraInspector för att hitta felkonfigurerade Salesforce-miljöer.

Mandiants tekniske chef Charles Carmakal kommenterar arbetet med att stoppa kampanjen. ”Vi samarbetar nära med Salesforce och deras kunder för att tillhandahålla nödvändig telemetri och detektionsregler som kan minska den potentiella risken”, säger han.

Tre attackvägar dominerar

Säkerhetsbolaget Push Security har kartlagt att nästan alla ShinyHunters-kampanjer det senaste året följer ett av tre mönster: vishing kombinerat med så kallad adversary-in-the-middle-phishing, där en angripare i realtid skickar vidare lösenord och engångskoder, vishing kombinerat med så kallad device code-phishing, samt OAuth-baserade attacker via komprometterade leverantörsintegrationer.

Den mest oroväckande är ”device code”-phishing, som lurar offer att godkänna en angripares enhet via OAuth. ”Det slår ut all multifaktorautentisering, inklusive passkeys, eftersom angreppet inte riktar sig mot inloggningen utan mot auktoriseringslagret”, konstaterar Push Security. Bolaget noterar att aktiviteten av just denna typ av attack ökat 37,5 gånger sedan början av 2026.

Vad du själv kan göra

Cushman & Wakefield har främst kommersiella kunder, så för svenska konsumenter är den direkta risken i just detta fall liten. Men ShinyHunters samlade läckor det senaste året omfattar över en miljard poster från fler än 760 företag, och bland offren finns tjänster som svenska användare har konton hos.

Kontrollera om din e-postadress förekommer i kända läckor via Have I Been Pwned, en databas som drivs av säkerhetsforskaren Troy Hunt och som i nuläget täcker över 17 miljarder komprometterade konton.

Hittar du din adress i en läcka är råden de samma som alltid. Byt lösenord på den berörda tjänsten, använd unika lösenord per konto, helst via en lösenordshanterare, och aktivera flerfaktorsautentisering med en autentiseringsapp eller säkerhetsnyckel i stället för sms-kod.

Ads by MGDK