Google ha confermato di essere stata vittima di una violazione di dati che ha coinvolto uno dei suoi sistemi Salesforce CRM utilizzati per comunicare con potenziali clienti di Google Ads.
In una notifica di violazione condivisa con BleepingComputer, l'azienda ha spiegato che l'incidente ha interessato un insieme limitato di dati, comprendenti nomi aziendali, numeri di telefono e note interne utili ai venditori per ricontattare i clienti. Google ha precisato che nessuna informazione di pagamento è stata esposta e che i dati relativi ad account Google Ads, Merchant Center, Google Analytics e altri prodotti pubblicitari non sono stati compromessi.
I dettagli dell'attacco
L'attacco è stato attribuito al gruppo di cybercriminali ShinyHunters, già responsabile di una serie di intrusioni mirate a clienti Salesforce. Secondo le loro dichiarazioni, i dati sottratti includono circa 2,55 milioni di record, anche se non è chiaro quanti siano effettivamente unici. Gli stessi ShinyHunters hanno affermato di operare in collaborazione con un altro gruppo, Scattered Spider, che fornisce l'accesso iniziale ai sistemi bersaglio.
Ora i due si presentano con il nome "Sp1d3rHunters", a testimonianza della loro alleanza operativa. Gli attacchi avvengono tramite tecniche di social engineering contro dipendenti, al fine di ottenere credenziali o indurli a collegare una versione malevola dell'app Salesforce Data Loader OAuth all'ambiente dell'azienda. Una volta ottenuto l'accesso, i criminali scaricano l'intero database Salesforce e avviano richieste di riscatto, minacciando la pubblicazione dei dati rubati in caso di mancato pagamento.
La richiesta del riscatto
Nel caso di Google, Databreaches.net riporta che sarebbe stata avanzata una richiesta di 20 Bitcoin (circa 2,3 milioni di dollari). ShinyHunters, però, ha dichiarato che la richiesta era "per divertimento" e non realmente finalizzata al riscatto.
Google ha inoltre riconosciuto che i criminali stanno adottando nuovi strumenti personalizzati per velocizzare il furto di dati, sostituendo l'uso del classico Data Loader con script Python dedicati. Gli attacchi a Salesforce erano stati segnalati per la prima volta a giugno 2025 dal Google Threat Intelligence Group, ma l'azienda stessa è stata colpita circa un mese dopo.
