Kelompok ShinyHunters Klaim Serangan Pencurian Data Berkelanjutan pada Platform Salesforce Aura

Salesforce memperingatkan para pelanggannya mengenai aktivitas peretasan yang menargetkan situs dengan konfigurasi Experience Cloud yang tidak tepat. Celah konfigurasi tersebut dapat memberi pengguna tamu akses ke data yang seharusnya tidak tersedia untuk publik. Di sisi lain, kelompok pemerasan siber ShinyHunters mengklaim sedang aktif mengeksploitasi metode baru untuk mencuri data dari sejumlah sistem Salesforce. Pasted text

Peringatan ini muncul setelah Salesforce mendeteksi adanya upaya penyerangan terhadap endpoint /s/sfsites/aura pada beberapa instance Experience Cloud yang dapat diakses publik. Endpoint tersebut digunakan oleh framework Salesforce Aura dan, jika konfigurasi aksesnya tidak tepat, dapat memungkinkan pengguna anonim mengakses data lebih luas dari yang seharusnya.

Serangan Memanfaatkan Kesalahan Konfigurasi

Menurut Salesforce, serangan yang terjadi bukan disebabkan oleh kerentanan pada platform inti mereka, melainkan akibat pengaturan akses pengguna tamu yang tidak dikonfigurasi dengan benar oleh pelanggan.

Pada situs Experience Cloud yang terbuka untuk publik, sistem biasanya menyediakan profil pengguna tamu (guest user profile) agar pengunjung anonim dapat mengakses informasi tertentu tanpa perlu login. Namun jika profil tersebut memiliki izin terlalu luas, pengunjung bisa langsung melakukan kueri terhadap objek data di Salesforce CRM.

Untuk membantu mengidentifikasi masalah ini, penyerang diketahui menggunakan versi yang dimodifikasi dari AuraInspector, sebuah alat audit open-source yang dikembangkan oleh Mandiant untuk memeriksa kesalahan konfigurasi akses dalam framework Salesforce Aura.

Salesforce Sarankan Langkah Pengamanan

Salesforce menyarankan pelanggan segera melakukan audit terhadap izin pengguna tamu dan menerapkan prinsip least privilege, yaitu memberikan akses seminimal mungkin yang benar-benar diperlukan.

Salah satu langkah paling penting adalah menonaktifkan akses API publik bagi pengguna tamu serta menghapus pengaturan API Enabled dari profil tersebut.

Selain itu, organisasi juga dianjurkan untuk:

• Meninjau kembali izin pengguna tamu dan membatasi akses seminimal mungkin
• Mengatur default akses eksternal organisasi menjadi Private
• Menonaktifkan visibilitas pengguna portal dan situs agar pengguna tamu tidak dapat melihat daftar pengguna internal
• Menonaktifkan fitur pendaftaran mandiri jika tidak benar-benar diperlukan

Administrator sistem juga disarankan untuk memantau log Aura Event Monitoring guna mendeteksi pola akses tidak biasa, alamat IP yang mencurigakan, atau kueri terhadap objek data yang seharusnya tidak bersifat publik.

ShinyHunters Mengaku Bertanggung Jawab

Kelompok peretas ShinyHunters mengklaim bertanggung jawab atas kampanye pencurian data yang menargetkan sistem Salesforce berbasis Aura dan Experience Cloud.

Menurut pengakuan mereka, serangan terhadap perusahaan dimulai sejak September 2025 dengan mencari instance Aura yang terekspos di internet melalui endpoint /s/sfsites/. Setelah menemukan target yang memiliki konfigurasi akses tidak aman, para peretas kemudian mengekstrak data dari sistem tersebut.

ShinyHunters juga mengklaim telah berhasil membobol sekitar 100 perusahaan besar, banyak di antaranya berasal dari sektor keamanan siber. Secara keseluruhan, mereka menyebut jumlah organisasi yang terdampak bisa mencapai 300 hingga 400 perusahaan.

Upaya Bypass Pembatasan Data

Salesforce sebenarnya memiliki pembatasan yang memungkinkan hanya 2.000 record data diambil dalam satu kueri melalui API GraphQL. Namun, ShinyHunters mengklaim menemukan parameter tertentu yang memungkinkan mereka melewati pembatasan tersebut.

Ketika Salesforce kemudian memperbaiki metode tersebut, kelompok peretas ini mengaku menemukan teknik baru untuk kembali melewati batasan kueri data.

Hingga kini, klaim mengenai metode baru tersebut belum dapat diverifikasi secara independen. Salesforce sendiri tetap menegaskan bahwa tidak ada kerentanan pada platform inti mereka dan bahwa masalah utama berasal dari konfigurasi pelanggan yang tidak aman.

Rekomendasi Tambahan untuk Perlindungan

Menurut pelaku ancaman, salah satu langkah yang dapat mencegah serangan adalah menonaktifkan Public Access pada instance Experience Cloud. Namun langkah ini juga akan menonaktifkan akses tamu dan mengubah situs menjadi portal privat.

Sementara itu, Salesforce terus mendorong pelanggan untuk memperkuat pengaturan keamanan, melakukan audit akses secara berkala, dan memantau aktivitas sistem guna mendeteksi potensi penyalahgunaan sejak dini.