Dem Angriff auf den US-Versicherer Allianz Life folgt jetzt die Veröffentlichung von 2,8 Millionen Datensätzen mit sensiblen Kunden- und Partnerinformationen. Hinter der Attacke steht mutmaßlich die Hackergruppe ShinyHunters, die Teil einer größeren Angriffswelle auf Salesforce-Instanzen ist.

Der US-Versicherer Allianz Life war im Juni 2025 Ziel eines Cyberangriffs. Laut übereinstimmenden Berichten wurden rund 2,8 Millionen Datensätze mit sensiblen Informationen aus einer cloudbasierten CRM-Umgebung entwendet und kürzlich im Internet veröffentlicht. Betroffen sind sowohl Privatkunden als auch Geschäftspartner wie Makler, Finanzberater und Vermögensverwalter.

Laut Recherchen des US-Portals BleepingComputer stammen die entwendeten Daten aus den Salesforce-Datenbanken »Accounts« und »Contacts«. Enthalten sind unter anderem Namen, Adressen, Telefonnummern, Geburtsdaten, Steueridentifikationsnummern sowie berufliche Angaben wie Lizenzen oder Produktfreigaben.

Allianz Life hat dies mit Verweis auf laufende Ermittlungen nicht offiziell bestätigt.

Anzeige

Angriffsweg über manipulierte OAuth-Apps

Nach bisherigen Erkenntnissen nutzten die Angreifer eine Social-Engineering-Kampagne, um Mitarbeiter mehrerer Unternehmen dazu zu bringen, eine präparierte OAuth-Anwendung (Open Authorization) mit den Salesforce-Systemen zu verbinden. Über diese Verbindung konnten komplette Datenbanken heruntergeladen werden.

Kriminelles Netzwerken

Hinter dem Angriff steht mutmaßlich die Gruppe ShinyHunters, die bereits für Angriffe auf Unternehmen wie AT&T oder PowerSchool verantwortlich gemacht wird. Auffällig ist, dass die Vorgehensweise Ähnlichkeiten zu der Gruppe Scattered Spider aufweist, die für gezielte Social-Engineering- und SIM-Swap-Angriffe bekannt ist.

Nach eigenen Angaben arbeiten ShinyHunters und Scattered Spider inzwischen zusammen. Zudem soll es personelle Überschneidungen mit der Gruppe Lapsus$ geben, die zwischen 2022 und 2023 unter anderem Microsoft, Uber und T-Mobile kompromittierte. In den vergangenen Jahren wurden mehrere mutmaßliche Mitglieder dieser Gruppierungen verhaftet. Die Ermittlungen zum aktuellen Fall laufen.