ShinyHunters Luncurkan Situs Kebocoran Data Salesforce, 39 Perusahaan Jadi Korban Ekstorsi

Kelompok peretas ShinyHunters, bersama dengan afiliasinya yang mengklaim bagian dari Scattered Spider dan Lapsus$—menyebut diri mereka “Scattered Lapsus$ Hunters”—meluncurkan situs kebocoran data baru untuk memeras puluhan perusahaan yang terdampak serangan Salesforce.
39 Korban di Situs Kebocoran
Situs tersebut menampilkan 39 perusahaan besar yang disebut telah menjadi korban, termasuk:
- FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France & KLM, TransUnion, HBO Max, UPS, Chanel, dan IKEA.
Masing-masing entri berisi contoh data yang dicuri dari Salesforce, dengan peringatan bahwa data lengkap akan dipublikasikan jika korban tidak merespons hingga 10 Oktober 2025.
Taktik Ekstorsi Ganda
ShinyHunters mengklaim telah menghubungi perusahaan jauh sebelum situs ini diluncurkan. Mereka juga memberikan ultimatum kepada Salesforce langsung, menuntut pembayaran untuk mencegah kebocoran sekitar 1 miliar rekaman data sensitif.
Dalam pernyataan di situs kebocoran, kelompok ini memperingatkan:
“Jika Salesforce membayar, kami akan menarik semua negosiasi dengan pelanggan secara individual. Mereka tidak akan diserang kembali maupun diminta tebusan di masa depan.”
Selain itu, kelompok ini mengancam akan mendukung gugatan hukum terhadap Salesforce dengan dalih kelalaian perusahaan melindungi data pelanggan sesuai standar GDPR (General Data Protection Regulation).
Modus Serangan
Sejak awal 2025, kelompok ini menggunakan voice phishing untuk menipu karyawan agar menautkan aplikasi OAuth berbahaya ke instance Salesforce perusahaan. Begitu terkoneksi, mereka mencuri database internal dan menggunakan data itu untuk pemerasan.
Menurut klaim ShinyHunters, mereka juga mengeksploitasi token OAuth milik Salesloft Drift AI yang terintegrasi dengan Salesforce, untuk mencuri password, AWS access keys, hingga Snowflake tokens.
Serangan ini berdampak luas karena satu instance Salesforce sering menyimpan data dari berbagai anak perusahaan, membuat kebocoran jauh lebih parah.
Dampak Lebih Luas: Salesloft Drift Campaign
ShinyHunters mengklaim kampanye terpisah yang melibatkan Salesloft Drift AI memengaruhi sekitar 760 perusahaan dengan pencurian 1,5 miliar rekaman Salesforce. Korban termasuk Google, Palo Alto Networks, CyberArk, Cloudflare, Rubrik, Zscaler, Tenable, Nutanix, Proofpoint, Elastic, BeyondTrust, dan Qualys.
Mereka berencana meluncurkan situs kebocoran terpisah pada 10 Oktober khusus untuk perusahaan yang terdampak serangan Salesloft Drift.
Respon Salesforce
Menanggapi publikasi situs tersebut, Salesforce merilis pernyataan resmi:
“Kami mengetahui adanya upaya pemerasan terbaru, yang telah kami investigasi bersama pakar eksternal dan otoritas terkait. Temuan kami menunjukkan bahwa upaya ini berkaitan dengan insiden lama atau tidak terbukti. Saat ini, tidak ada indikasi bahwa platform Salesforce dikompromikan, dan aktivitas ini tidak terkait kerentanan pada teknologi kami.”
Kesimpulan
Serangan ini menunjukkan bagaimana OAuth dan integrasi pihak ketiga dapat menjadi celah serius dalam keamanan SaaS enterprise. Meski Salesforce membantah platform inti mereka diretas, kasus ini menegaskan perlunya kontrol ketat atas aplikasi terhubung dan peningkatan kesadaran karyawan terhadap phishing berbasis suara dan integrasi cloud berbahaya.
Sumber: Salesforce, ShinyHunters