Hackers maakten bij een aanval op verzekeraar Allianz Life gevoelige gegevens van 2,8 miljoen klanten en zakenpartners buit. De informatie is afkomstig uit Salesforce, het CRM-systeem dat het bedrijf gebruikt.Â
De aanval maakt deel uit van een bredere campagne van de hackergroep ShinyHunters. Die campagne trof de afgelopen weken meerdere prominente organisaties.
Allianz Life meldde in juli dat persoonlijke gegevens van het merendeel van zijn 1,4 miljoen klanten waren gestolen bij een externe leverancier. Kort daarna bleek dat dit incident verband houdt met een golf aan Salesforce-aanvallen. Die campagne raakte ook Google, Cisco, Air France-KLM, LVMH, Adidas, Chanel, Pandora en Qantas.
De omvang van deze reeks incidenten is groot. Zo verloor Google klantgegevens van mkb-relaties uit een Salesforce-instance. Wel benadrukte Google dat de buitgemaakte gegevens grotendeels openbaar waren. Cisco werd slachtoffer van een vishing-aanval waarbij inloggegevens werden buitgemaakt en een CRM-systeem werd gecompromitteerd, met diefstal van namen, adressen, e-mails en telefoonnummers.Â
Air France-KLM zag onder andere e-mailadressen en airmiles-status van klanten uitlekken. LVMH, Adidas, Chanel en Pandora raakten klant- en servicegegevens kwijt.
ShinyHunters al vijf jaar actief
ShinyHunters, actief sinds 2020, richt zich primair op financieel gewin. Door gevoelige gegevens te stelen en door te verkopen op het dark web, of door slachtoffers af te persen, genereert de groep aanzienlijke inkomsten. Eerder werd de groep in verband gebracht met inbraken bij Microsoft, AT&T en Santander. En met de Snowflake-aanvallen op onder meer Ticketmaster. Hun naam verwijst naar shiny Pokémon. De naam is zo een metafoor voor de waardevolle data die zij zoeken.
Bij de aanval op Allianz Life maakten criminelen volgens BleepingComputer complete Salesforce-tabellen met accounts en contacten buit. Dit inclusief namen, adressen, geboortedata, belastingnummers en professionele gegevens van tussenpersonen. Onderzoek wijst erop dat ShinyHunters gebruikmaakt van social engineering om medewerkers zover te krijgen dat zij een kwaadaardige OAuth-app toegang geven tot Salesforce. Daarna kunnen hackers databases downloaden zonder technische kwetsbaarheden te misbruiken.
Hoewel niet alle buitgemaakte data al publiekelijk zijn verschenen, bestaat het risico dat deze alsnog op het dark web worden verkocht. Klanten wordt geadviseerd alert te zijn op phishing en andere gerichte fraudepogingen.