(https://www.bleepstatic.com/content/hl-images/2025/01/15/Google-Ads.jpg)
Google ha confirmado que una filtración de datos recientemente revelada en una de sus instancias de Salesforce CRM afectó la información de posibles clientes de Google Ads.
"Les escribimos para informarles sobre un evento que afectó a un conjunto limitado de datos en una de las instancias corporativas de Salesforce de Google, utilizada para comunicarse con posibles clientes de Google Ads"
"Nuestros registros indican que la información básica de contacto comercial y las notas relacionadas se vieron afectadas por este evento".
Google afirma que la información expuesta incluye nombres de empresas, números de teléfono y "notas relacionadas" para que un agente de ventas de Google pueda contactarlas de nuevo.
La compañía afirma que la información de pago no se vio expuesta y que no hay impacto en los datos de Google Ads en la cuenta de Google Ads, Merchant Center, Google Analytics ni en otros productos de Google Ads.
La filtración fue perpetrada por actores de amenazas conocidos como ShinyHunters, quienes han estado detrás de una ola continua de ataques de robo de datos dirigidos a clientes de Salesforce.
Aunque Google no ha revelado cuántas personas se vieron afectadas, ShinyHunters afirma que la información robada contiene aproximadamente 2,55 millones de registros de datos. No está claro si estos registros contienen duplicados.
ShinyHunters también informó a que están trabajando con actores de amenazas asociados con "Scattered Spider", responsables de obtener el acceso inicial a los sistemas objetivo.
"Como ya hemos dicho repetidamente, ShinyHunters y Scattered Spider son la misma persona", declaró ShinyHunters a BleepingComputer.
"Nos proporcionan el acceso inicial y nosotros realizamos el volcado y la exfiltración de las instancias de Salesforce CRM". Tal como hicimos con Snowflake.
Los actores de amenazas ahora se autodenominan "Sp1d3rHunters" para ilustrar el grupo de personas involucradas en estos ataques.
Como parte de estos ataques, los actores de amenazas realizan ataques de ingeniería social contra empleados para obtener acceso a credenciales o engañarlos para que vinculen una versión maliciosa de la aplicación Data Loader OAuth de Salesforce al entorno de Salesforce del objetivo.
Después, descargan toda la base de datos de Salesforce y extorsionan a las empresas por correo electrónico, amenazando con liberar los datos robados si no se paga un rescate.
Estos ataques a Salesforce fueron reportados por primera vez por el Grupo de Inteligencia de Amenazas de Google (GTIG) en junio, y la empresa sufrió la misma suerte un mes después.
Databreaches.net informó que los actores de amenazas ya enviaron una demanda de extorsión a Google. Tras publicar la noticia, ShinyHunters declaró a BleepingComputer que exigieron 20 Bitcoins, o aproximadamente 2,3 millones de dólares, a Google para no filtrar los datos.
"No me importa..." "De todas formas, si no quería pedir un rescate a Google, simplemente les envié un correo electrónico falso por pura diversión", dijo el actor de amenazas.
ShinyHunters afirma que desde entonces han cambiado a una nueva herramienta personalizada que facilita y agiliza el robo de datos de instancias de Salesforce comprometidas.
En una actualización, Google reconoció recientemente la nueva herramienta, afirmando que han visto scripts de Python utilizados en los ataques en lugar del Cargador de Datos de Salesforce.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/google-confirms-data-breach-exposed-potential-google-ads-customers-info/