Google mengonfirmasi bahwa pelanggaran data yang baru-baru ini terungkap pada salah satu instansi Salesforce CRM mereka berdampak pada informasi calon pelanggan Google Ads.
Dalam pemberitahuan resmi, Google menyatakan bahwa insiden ini mempengaruhi sebagian kecil data di Salesforce yang digunakan untuk berkomunikasi dengan calon pelanggan Google Ads. Data yang terekspos meliputi nama bisnis, nomor telepon, dan catatan terkait untuk keperluan tindak lanjut penjualan. Google menegaskan bahwa informasi pembayaran tidak terdampak, dan data pada Google Ads, Merchant Center, Google Analytics, serta produk iklan lainnya tetap aman.
Pelanggaran ini dilakukan oleh kelompok peretas ShinyHunters, yang sebelumnya terlibat dalam serangkaian pencurian data pelanggan Salesforce. Mereka mengklaim berhasil mencuri sekitar 2,55 juta catatan (belum jelas apakah ada duplikasi), bekerja sama dengan aktor ancaman “Scattered Spider” yang disebut sebagai pihak yang memberikan akses awal. Kini, gabungan kelompok tersebut menamakan diri “Sp1d3rHunters.”
Serangan dilakukan melalui rekayasa sosial terhadap karyawan, untuk mendapatkan kredensial atau mengelabui mereka agar menghubungkan aplikasi Data Loader OAuth Salesforce versi berbahaya ke lingkungan target. Dari situ, para pelaku mengunduh seluruh basis data Salesforce dan mengirim email pemerasan, mengancam akan membocorkan data jika tebusan tidak dibayar.
Kasus ini pertama kali diungkap oleh Google Threat Intelligence Group (GTIG) pada Juni, diikuti insiden serupa sebulan kemudian. Menurut Databreaches.net, ShinyHunters menuntut tebusan sebesar 20 Bitcoin (sekitar $2,3 juta). Namun, kelompok itu kemudian mengaku email tuntutan tebusan kepada Google hanyalah tipu daya.
ShinyHunters juga mengungkap telah menggunakan tool khusus baru yang mempercepat pencurian data dari instansi Salesforce yang disusupi. Google mengonfirmasi temuan ini, menyebut bahwa pelaku memakai skrip Python, bukan Salesforce Data Loader seperti sebelumnya.