Google bestätigt Datendiebstahl in seiner Salesforce CRM-Instanz

by in Cyberangriffe

Google hat kürzlich einen Datendiebstahl in einer seiner Salesforce CRM-Instanzen bestätigt, der die Daten von Google Ads-Kunden betraf. In der offiziellen Benachrichtigung über den Vorfall, die uns seit dem 9. August 2025 vorliegt, erklärt Google:

„Wir möchten Sie über ein Ereignis informieren, das einen begrenzten Datensatz in einer der Salesforce-Instanzen von Google, die zur Kommunikation mit potenziellen Ads-Kunden genutzt wird, beeinträchtigt hat. Unseren Aufzeichnungen zufolge waren grundlegende Geschäftskontaktinformationen und zugehörige Notizen von diesem Ereignis betroffen.“

Google bestätigt Datendiebstahl in seiner Salesforce CRM-Instanz
Abb. 1: Screenshot (Ausschnitt) der offiziellen E-Mail-Benachrichtigung über den Sicherheitsvorfall von Google, die wir am 9. August 2025 erhalten haben.

Was ist passiert?

Laut Google war eine der Salesforce-Instanzen von einem Sicherheitsvorfall betroffen, der in einem Blogbeitrag der Google Threat Intelligence Group näher beschrieben wird. Ein Angreifer hatte für kurze Zeit unbefugten Zugriff auf diese Instanz, jedoch keinen Zugriff auf die Google-Systeme selbst. Die angegriffene Salesforce-Instanz enthielt grundlegende Geschäftskontaktinformationen wie Firmenname, Telefonnummer und zugehörige Notizen, die es einem Google-Vertriebsmitarbeiter ermöglichten, Kontakt aufzunehmen.

Welche Auswirkungen hat der Sicherheitsvorfall?

Google betont, dass es keine Auswirkungen auf Ads-Daten gibt, die in Google Ads-Konten, Merchant Center, Google Analytics oder anderen Ads-Produkten gespeichert sind, sowie auf Zahlungsinformationen. Die Sicherheitsteams von Google haben die betroffene Salesforce-Instanz bewertet und entsprechende Maßnahmen ergriffen.

Vom Beobachter zum Opfer

Seit geraumer Zeit beobachtet die Google Threat Intelligence Group das für den Vorfall verantwortliche Bedrohungsnetzwerk UNC6040, das durch Voice Phishing (Vishing) in Salesforce-Umgebungen eindringt, um Daten zu stehlen und anschließend Erpressungen durchzuführen. UNC6040 täuscht Mitarbeiter, indem es sich als IT-Support ausgibt und sie dazu bringt, bösartige Anwendungen zu autorisieren, die den Angreifern Zugang zu sensiblen Informationen ermöglichen. Im Juni 2025 ist Google nun selbst Opfer von UNC6040 geworden.

Empfohlene Schutzmaßnahmen

Obwohl Google in der Benachrichtigungs-E-Mail angibt, dass derzeit keine Maßnahmen für die betroffenen Nutzer erforderlich sind, gibt es einige Schritte, die man unternehmen kann, um sich zu schützen:

  • Prinzip der minimalen Berechtigung: Gewähre Benutzern der Google-Konten und -Dienste nur die Berechtigungen, die sie für ihre spezifischen Aufgaben benötigen, um das Risiko eines unbefugten Zugriffs auf sensible Daten zu minimieren.
  • Strenge Verwaltung des Zugriffs auf verbundene Anwendungen: Überwache und kontrolliere, welche Benutzer und Anwendungen auf dein Salesforce-Portal zugreifen dürfen, und genehmige nur vertrauenswürdige Anwendungen, um potenzielle Sicherheitslücken zu schließen.
  • Aktiviere die Multi-Faktor-Authentifizierung: Implementiere eine zusätzliche Sicherheitsebene, die einen zweiten Verifizierungsschritt bei der Anmeldung erfordert, um unbefugten Zugriff zu verhindern, selbst wenn Anmeldedaten kompromittiert werden.
  • Sei vorsichtig bei Phishing-Versuchen: Google weist explizit darauf hin, dass sie niemals telefonisch nach Anmelde- oder Zahlungsdaten fragen. Sei misstrauisch gegenüber unerwarteten Anrufen oder E-Mails.
  • Überwachen deine Konten: Halte Ausschau nach verdächtigen Aktivitäten in den Google-Konten und -Diensten.
  • Informiere dich über Sicherheitsupdates: Bleibe auf dem Laufenden über Sicherheitsmitteilungen von Google und anderen Dienstanbietern.

Google entschuldigt sich für etwaige Unannehmlichkeiten und bietet Unterstützung über das Support-Formular an (derzeit nur in englischer Sprache verfügbar). Bei Fragen oder Bedenken zu dem Vorfall solltest du nicht zögern, dich direkt an Google zu wenden.

Historie und Hintergrund zum Vorfall

Google informiert die Betroffenen des Vorfalls per E-Mail-Benachrichtigungen

Am 8. August 2025 hat Google die E-Mail-Benachrichtigungen an die Personen abgeschlossen, die von dem Sicherheitsvorfall betroffen sind.

Google wird selbst Opfer von UNC6240 und gibt den Vorfall im Juni 2025 bekannt

Am 5. August 2025 gab Google bekannt, dass im Juni 2025 eine seiner Salesforce-Instanzen von dem Bedrohungsakteur UNC6040 betroffen war. Google hat daraufhin eine Analyse der Auswirkungen durchgeführt und Gegenmaßnahmen eingeleitet. Die betroffene Instanz speicherte Kontaktinformationen und Notizen für kleine und mittelständische Unternehmen. Es wurde festgestellt, dass der Angreifer während eines kurzen Zeitfensters auf grundlegende, größtenteils öffentlich verfügbare Geschäftsinformationen zugreifen konnte, bevor der Zugriff unterbrochen wurde.

Google Threat Intelligence Group verfolgt die Erpressungsaktivitäten von UNC6240 und berichtet darüber

Am 4. Juni 2025 gab die Google Threat Intelligence Group (GTIG) bekannt, dass sie Erpressungsaktivitäten, die unter dem Namen UNC6240 durchgeführt wurden, verfolgt. Diese Erpressung umfasst Anrufe oder E-Mails an Mitarbeiter der betroffenen Organisation, in denen eine Zahlung in Bitcoin innerhalb von 72 Stunden gefordert wird. UNC6240 hat sich dabei als Teil der Bedrohungsgruppe ShinyHunters ausgegeben. Es wird vermutet, dass diese Gruppe plant, ihre Erpressungstaktiken durch die Einführung einer Datenleck-Website (DLS) zu intensivieren, um den Druck auf die Opfer zu erhöhen.

Entwicklung der Taktiken von UNC6040

GTIG hat eine Evolution in den Taktiken von UNC6040 beobachtet. Ursprünglich nutzte die Gruppe die Salesforce Dataloader-Anwendung, hat jedoch auf benutzerdefinierte Anwendungen umgeschwenkt, bei denen es sich meist um Python-Skripte handelt. Der Angriffsprozess beginnt mit einem Anruf, bei dem der Bedrohungsakteur das Opfer anwirbt, während er VPNs oder TOR verwendet. Nach diesem ersten Kontakt erfolgt die Datensammlung automatisiert, was die Verfolgung erschwert. Die Gruppe hat auch von der Erstellung von Salesforce-Testkonten zu kompromittierten Konten anderer Organisationen gewechselt, um ihre bösartigen Anwendungen zu registrieren.

Abonniere jetzt unsere Cyber-News!

Ca. alle 4 Wochen erhältst du wertvolle Insights, Informationen, Tipps und Ratschläge zur Cybersicherheit, Cyberbedrohungen, Phishing-Methoden, Betrugsmaschen und Social-Engineering, ganz gleich ob du Anfänger oder Fortgeschrittener bist.

Newsletter abonnieren

Ähnliche Beiträge

Angriffe auf KI-Browser: So schützt du sensible...
KI-Browser und ihre Integrationen dienen längst nicht mehr nur dem...
>>>
Verdächtige E-Mails erkennen: So entlarvst du raffinierte...
Immer wieder landen täuschend echt aussehende E-Mails in unseren Postfächern....
>>>
KIKI
CometJacking: Angreifer können den Comet-KI-Browser von Perplexity...
Der KI-Assistent im Browser soll dir eigentlich den Arbeits-Alltag erleichtern....
>>>
Tagged with: , , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert