Update: Salesforce lehnt Lösegeldzahlung an Hackergruppe ab

Update vom 09.10.2025: Eine Hackergruppe namens Scattered Lapsus$ Hunters hat kürzlich behauptet, fast eine Milliarde erbeutete Datensätze von Salesforce-Nutzern auf einer eigenen Website zu veröffentlichen. Unter den insgesamt 39 Unternehmen, die vom Datenleck betroffen sind, befinden sich laut "Bleepingcomputer" auch bekannte Marken wie Fedex, Marriott, Google, Cisco, Adidas, UPS, und Ikea.

Wie es im Bericht heisst, fordern die Hacker eine einmalige Zahlung von Salesforce oder einzelnen betroffenen Unternehmen und wollen die Datensätze andernfalls öffentlich zugänglich machen.

Die Angreifer sollen die Daten in diesem Jahr in zwei getrennten Kampagnen aus Salesforce-Instanzen erbeutet haben: zum einen während eines Angriffs, bei dem sie auf Social Engineering setzten, und zum anderen bei einem Supply-Chain-Angriff über die Drittanbieter-Anwendung Salesloft Drift.

Nun bestätigt Salesforce laut dem Bericht, dass das Unternehmen weder mit den Angreifern verhandeln, noch ihnen Lösegeld zahlen werde. Seine Kunden habe der US-amerikanische Software-Riese laut "Bloomberg" (Paywall) bereits vergangenen Dienstag per E-Mail über diesen Entscheid ins Bild gesetzt. Salesforce sei sich der jüngsten Erpressungsversuche bewusst und stehe in Kontakt mit den betroffenen Kunden.

Die Datenleck-Website habe man unterdessen deaktiviert. Die Domäne verwende nun die Nameserver "surina.ns.cloudflare.com" und "hans.ns.cloudflare.com", die beide bereits in der Vergangenheit vom FBI, der zentralen Sicherheitsbehörde der USA, bei der Beschlagnahmung von Domänen eingesetzt wurden. Auf Anfrage von "Bleepingcomputer" beim FBI, ob die in diesem Fall betroffene Domäne beschlagnahmt wurde, hat das Nachrichtenportal laut Bericht bislang keine Antwort erhalten.

Originalmeldung vom 07.10.2025:

Hacker drohen mit Veröffentlichung von einer Milliarde Salesforce-Datensätzen

Die Hackergruppe Scattered Lapsus$ Hunters prahlt auf einer eigenen Website mit rund 990 Millionen gestohlenen Salesforce-Datensätzen. Bis zum 10. Oktober soll über ein Lösegeld verhandelt werden, bevor die Daten veröffentlicht würden, wie "CRN" berichtet.

Die Datensätze enthielten personenbezogene Informationen von insgesamt 39 Unternehmen. An die Daten sollen die Hacker mittels Voice-Phishing (Vishing) gekommen sein - eine Betrugsmethode, bei der Opfer telefonisch zur Preisgabe vertraulicher Informationen verleitet werden. Laut "Bleepingcomputer" seien die Angreifer Teil anderer Hackergruppen, darunter Shinyhunters, Scattered Spider und Lapsus$.

Salesforce erklärte laut "CRN", man untersuche die Vorfälle in Zusammenarbeit mit externen Experten und Behörden. Die bisherigen Erkenntnisse deuteten darauf hin, dass die beobachteten Druckversuche mit früheren oder unbestätigten Vorfällen zusammenhängen. Salesforce stehe in Kontakt mit den betroffenen Kunden. Laut dem US-Unternehmen gebe es jedoch "keine Hinweise darauf, dass die Salesforce-Plattform kompromittiert wurde". 

Der Cybersecurity-Forscher Kevin Beaumont hingegen bestätigte gemäss Bericht die Echtheit von Beispieldaten: "Ich habe mit einer der betroffenen Organisationen gesprochen – ihre Daten stammen offenbar aus ihrer Salesforce-Instanz", schrieb er. 

Erst kürzlich haben Cyberkriminelle Authentifizierungstokens der KI-Plattform Salesloft Drift entwendet. Auch bei diesem Angriff war die Hackergruppe Shinyhunters beteiligt und behauptete, sie habe insgesamt 1,5 Milliarden Datensätze aus dem Salesforce-CRM-Fundus abgegriffen. Mehr dazu lesen Sie hier. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.