Salesforce hat Kunden darüber informiert, keine Verhandlungen zu führen und kein Lösegeld zu zahlen an die Gruppe, die hinter einer Serie von Datendiebstählen aus Kundeninstanzen steht. Laut Bloomberg drohen die Angreifer mit einer baldigen Veröffentlichung der erbeuteten Informationen und führen auf einem Erpressungsportal 39 namhafte Organisationen als Betroffene auf, verbunden mit einer Frist bis zum 10. Oktober 2025.
Erpressungsdruck auf die SaaS-Lieferkette: Wer droht und wen es trifft
Die Täter bezeichnen sich als Scattered Lapsus$ Hunters – eine Koalition aus Mitgliedern von Scattered Spider, LAPSUS$ und Shiny Hunters. Die Gruppe behauptet, Zugriff auf rund eine Milliarde Datensätze mit personenbezogenen Informationen erlangt zu haben, und fordert von Salesforce eine Zahlung, um die Veröffentlichung zu „einfrieren“. Als Druckmittel heißt es: „Wenn ihr zahlt, erhalten eure Kunden keine weiteren Lösegeldforderungen von uns.“ Medienberichten zufolge lehnt Salesforce jegliche Zahlung ab.
Auf der Liste der bedrohten Organisationen finden sich globale Marken wie FedEx, Disney und Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France und KLM, TransUnion, HBO Max, UPS, Chanel und IKEA. Zusätzlich drohen die Täter mit GDPR-bezogenen Haftungsrisiken und unterstützen laut eigener Aussage nach einem Leak mögliche Klagen.
Taktiken und Vektoren: Soziale Ingenieurkunst und OAuth-Missbrauch
Welle 1 (Ende 2024): Schadhafte OAuth-Apps über Support-Impersonation
Die erste Angriffswelle basierte auf sozialer Ingenieurkunst. Angreifer gaben sich als Support aus und überzeugten Mitarbeitende, schädliche OAuth‑Applikationen in Unternehmensinstanzen von Salesforce zu autorisieren. Nach der Einwilligung exportierten die Täter Kundendaten und leiteten Erpressungen ein. Berichtet betroffen waren u. a. Google, Adidas, Qantas, Allianz Life, Marken aus dem LVMH‑Konzern (Louis Vuitton, Dior, Tiffany & Co), Cisco.com, Chanel und Pandora.
Welle 2 (August 2025): Supply‑Chain über SalesLoft/Drift‑Tokens
In einer zweiten Phase nutzten die Täter abgeflossene OAuth‑Tokens von SalesLoft/Drift, um CRM‑Zugriffe zu erhalten und sensible Daten zu exportieren. Fokus waren Support‑Tickets, die häufig Zugangsdaten, API‑Schlüssel und Authentifizierungstoken enthalten – ein direkter Hebel in interne IT‑Landschaften und Cloud‑Dienste. Zwischenfälle meldeten u. a. Zscaler, Proofpoint, Palo Alto Networks, Workiva, PagerDuty, Exclaimer und Cloudflare.
Risiken und Folgen: GDPR, Reputationsschäden und Kaskadeneffekte
Die Veröffentlichung großer PII‑Bestände kann zu erheblichen GDPR‑Bußgeldern, Sammelklagen und langanhaltenden Reputationsschäden führen. Besonders kritisch ist der Dominoeffekt in SaaS‑Ökosystemen: Ein einziger Vorfall kann durch weiterverwendete Zugänge, Tokens und Integrationen seitwärts eskalieren und Drittsysteme kompromittieren.
Zum Zeitpunkt der Berichterstattung war das Erpressungsportal vorübergehend nicht erreichbar; laut BleepingComputer zeigte der Domain‑Eintrag zeitweise Nameserver, die zuvor bei FBI‑Domainbeschlagnahmen zum Einsatz kamen. Offizielle Stellungnahmen lagen nicht vor, der Status der Täterinfrastruktur bleibt unklar.
Branchenberichte wie der Verizon Data Breach Investigations Report (DBIR) und die ENISA Threat Landscape dokumentieren seit Jahren, dass das menschliche Element und Missbrauch von Zugangsdaten zu den führenden Initialvektoren zählen. OAuth‑Einwilligungsphishing und Token‑Diebstahl passen in dieses Muster und profitieren von schwacher Governance über Dritt‑Apps und unzureichender Geheimnishygiene in Prozessen wie Ticketing.
Empfohlene Schutzmassnahmen: OAuth‑Governance, Geheimnishygiene, schnelle Reaktion
OAuth und App‑Governance: Etablieren Sie Allowlists für Dritt‑Apps, erzwingen Sie Least Privilege bei Scopes, nutzen Sie kurzlebige Tokens mit automatischer Rotation, überwachen Sie risikoreiche Consent‑Ereignisse und widerrufen Sie verdächtige Berechtigungen umgehend. Orientierung bieten u. a. NIST‑Kontrollen (z. B. AC‑6, IA‑2) und Herstellerleitfäden zu OAuth‑Sicherheit.
Geheimnisschutz im Support: Verbieten Sie Passwörter, API‑Keys und Tokens in Tickets und Anhängen. Setzen Sie Secret‑Manager ein und integrieren Sie Data Loss Prevention (DLP), um sensible Inhalte in Tickets automatisiert zu erkennen und zu maskieren.
Abwehr sozialer Ingenieurkunst: Führen Sie regelmäßige Trainings und realitätsnahe Phishing‑Simulationen durch, verifizieren Sie Support‑Anfragen über unabhängige Kanäle, schützen Sie gegen MFA‑Fatigue und etablieren Sie strenge Prozesse für externe App‑Consents (Vier‑Augen‑Prinzip, Security‑Review).
Observability und Incident Response: Korrelieren Sie Anmelde‑, API‑ und Admin‑Ereignisse, nutzen Sie Verhaltensanalytik und Geo‑Anomalien, halten Sie Playbooks für Token‑Mass‑Revocation und erzwungene Logouts vor und planen Sie proaktiv Benachrichtigungen, Rechts‑ und PR‑Maßnahmen für den Leckfall.
Der Verzicht auf Lösegeldzahlungen erhöht die Notwendigkeit, technische Kontrollen und Reaktionsfähigkeit zu stärken. Organisationen sollten jetzt OAuth‑Missbrauchsvektoren schließen, Geheimnisse aus Betriebsprozessen entfernen und Lieferanten‑Integrationen neu bewerten. Wer Einwilligungen konsequent steuert, Tokens kurzlebig hält und Support‑Daten entschlackt, reduziert die Angriffsfläche – und begrenzt den Schaden bei nachfolgenden Kampagnen messbar.
