Eine Hacker-Gruppe droht Salesforce mit der Veröffentlichung von rund einer Milliarde Kundendatensätzen. Ebenso viele US-Dollar Lösegeld sollen gefordert werden. Salesforce bestätigt den Vorfall, betont jedoch, dass die eigene Plattform nicht kompromittiert wurde.

Salesforce hat in einer systeminternen Sicherheitsmeldung erklärt, dass seine CRM-Plattform aktuell Ziel von Cyber-Angriffen sei. Hinweise darauf, dass die eigene Infrastruktur kompromittiert wurde, gebe es nicht. In dem Security Advisory mutmaßt das Unternehmen, dass aktuelle Erpressungsversuche in Zusammenhang mit älteren oder unbestätigten Vorfällen stehen könnten.

Der CRM-Anbieter arbeite mit externen Sicherheitsexperten und Behörden zusammen, um mögliche Auswirkungen auf Kunden zu untersuchen. Betroffene Unternehmen wurden informiert und erhalten technische Unterstützung.

Anzeige

Hintergrund: Missbrauch von API-Autorisierung und Social Engineering

Die aktuellen Vorfälle stehen offenbar im Zusammenhang mit Angriffsmustern, bei denen keine technischen Schwachstellen, sondern menschliche Faktoren ausgenutzt werden. Nach Angaben der Google Threat Intelligence Group (GTIG) nutzten Angreifer jüngst Social-Engineering-Methoden wie Vishing (telefonische Täuschung) und die fälschliche Autorisierung von Anwendungen durch Mitarbeiter erfolgreich gegen Salesforce.

Laut GTIG konnten auf diese Weise zuletzt im August 2025 Daten über die Salesloft-Integration Drift exportiert werden, die Zugriff auf zahlreiche Salesforce-Instanzen ermöglichte. Inzwischen wurden Dutzende Schadensersatzklagen wegen Vernachlässigung der Sicherheitsmaßnahmen in dieser Angelegenheit gegen Salesforce eingereicht.

Erpressungsversuch durch (un)bekannte Gruppierung

Die aktuelle Bedrohung soll von einer Gruppierung ausgehen, die sich »Scattered LAPSUS$ Hunters« nennt. Die Gruppe gilt als Nachfolgekollektiv der bekannten Cyberbanden Lapsus$, ShinyHunters und Scattered Spider, die bereits in mehreren Fällen mit Datendiebstahl und Erpressung in Verbindung gebracht wurden.

Nach einer Reihe von Festnahmen unter anderem in Großbritannien ging man vom Rückzug dieser Gruppen aus. Das war offenbar ein Irrtum.

Lösegeld-Forderung: 1 Milliarde US-Dollar

Auf einer neuen, auf dem Tor-Netzwerk basierenden Leak-Seite hat die Rest-Formation nun 39 Unternehmen aufgeführt, deren Daten im Rahmen ihrer aktuellen Salesforce-Kampagne gekapert worden sein sollen. Zu den genannten Marken gehören unter anderem Adidas, Air France/KLM, Allianz Life, Cisco, Dior, Disney, FedEx, Google, Kering, Louis Vuitton, Qantas, Stellantis, Toyota, TransUnion und UPS.

Scattered LAPSUS$ Hunters behauptet, Daten aus deren Salesforce-Instanzen gestohlen zu haben, und droht mit der Veröffentlichung, falls Salesforce bis zum 10. Oktober kein Lösegeld bezahlt. Nach Recherchen von SecurityWeek und The Register fordern die vermeintlichen Daten-Diebe knapp eine Milliarde US-Dollar.