Kelompok peretas ShinyHunters mengklaim berhasil mencuri lebih dari 1,5 miliar data Salesforce milik 760 perusahaan dengan memanfaatkan OAuth token Drift yang bocor.
Bagaimana Serangan Terjadi
- Selama setahun terakhir, para penyerang menargetkan pelanggan Salesforce menggunakan rekayasa sosial dan aplikasi OAuth berbahaya.
- Maret 2025: Salah satu pelaku membobol repositori GitHub milik Salesloft, yang berisi source code privat.
- Dengan bantuan alat keamanan TruffleHog, peretas menemukan OAuth token dari Salesloft Drift dan Drift Email.
- Token ini digunakan untuk mengakses Salesforce dan mengekstrak data dalam jumlah masif.
Data yang Dicuri
Dari klaim ShinyHunters, total 1,5 miliar data yang dicuri terbagi atas:
- 579 juta dari tabel Contact
- 459 juta dari tabel Case (berisi detail tiket support pelanggan, termasuk data sensitif)
- 250 juta dari tabel Account
- 171 juta dari tabel Opportunity
- 60 juta dari tabel User
Google Threat Intelligence (Mandiant) menemukan bahwa data Case dianalisis untuk mencari credential rahasia seperti:
- AWS access keys (AKIA)
- Password
- Token akses Snowflake
Hal ini memungkinkan penyerang untuk pivot ke lingkungan lain demi melanjutkan serangan.
Dampak dan Korban
Serangan ini menimpa sejumlah perusahaan besar, di antaranya:
Google, Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks, dan Palo Alto Networks.
FBI juga mengeluarkan peringatan resmi terkait aktivitas UNC6040 dan UNC6395, dua kelompok yang dilacak Google terkait operasi ini.
ShinyHunters “Pensiun”?
Meski ShinyHunters mengumumkan rencana untuk “menghilang” dari Telegram, laporan ReliaQuest menyebut mereka masih aktif dan kini mulai menargetkan institusi keuangan sejak Juli 2025.
Bahkan, kelompok ini sempat mengklaim telah membobol:
- Google LERS (Law Enforcement Request System)
- FBI eCheck platform
Google kemudian mengonfirmasi adanya akun palsu yang dibuat, namun menegaskan tidak ada data yang diakses.
Mitigasi
Salesforce merekomendasikan langkah-langkah berikut bagi pelanggan:
- Aktifkan Multi-Factor Authentication (MFA).
- Terapkan least privilege principle (hak akses minimal).
- Pantau dan kelola aplikasi terhubung dengan lebih ketat.
Sumber: BleepingComputer, Google Threat Intelligence, FBI Advisory