Update: Google bestätigt Abfluss von Google-Ads-Daten nach Cyberangriff

Update vom 11.08.2025: Google hat bestätigt, dass der kürzlich bekannt gewordene Cyberangriff auf eine seiner Salesforce-Instanzen zum Datenabfluss potenzieller Google-Ads-Kunden geführt hat. Es sind "grundlegende Geschäftskontaktinformationen und zugehörige Notizen" betroffen – darunter Firmennamen, Telefonnummern und Notizen für Google-Vertriebsmitarbeiter, wie es laut "Bleepingcomputer"  in einer Mitteilung des Tech-Giganten heisst.

Google gibt jedoch an, dass keine Zahlungsinformationen offengelegt worden sind und das auf den Voice-Phishing-Angriff zurückgeführte Datenleck keine Auswirkungen auf Daten in Google Ads-Konten, im Merchant Center, in Google Analytics und anderen Ads-Produkten habe. Wie viele Konten betroffen sind, habe Google jedoch nicht mitgeteilt. Die Ransomware-Gruppe Shinyhunters, die hinter dem Cyberangriff steckt, hat laut Bericht angegeben, rund 2,55 Millionen Datensätze erbeutet zu haben. Gemäss "Bleepingcomputer" sei aber unklar, ob Duplikate enthalten sind.

Shinyhunters erklärte gegenüber "Bleepingcomputer" zudem, dass man beim Erstzugriff mit Bedrohungsakteuren aus dem Umfeld von Scattered Spider zusammengearbeitet habe, die für den Erstzugriff auf die Zielsysteme verantwortlich seien. Ferner sei die Gruppe auf ein eigenes Tool für den Datendiebstahl aus kompromittierten Salesforce-Instanzen umgestiegen. Google hat bestätigt, wie es weiter heisst, dass beim Cyberangriff Python-Skripte statt des Salesforce Data Loader eingesetzt wurden, heisst es weiter. Des Weiteren verlange Shinyhunters 20 Bitcoin – rund 2,3 Millionen US-Dollar – um die Daten nicht zu veröffentlichen.

Originalmeldung vom 07.08.2025:

Google meldet Datenleck nach Angriff auf Salesforce-Instanz

Eine Angriffswelle durch die Ransomware-Gruppe Shinyhunters hat nun auch Google getroffen. Wie das Unternehmen in einem Blogpost mitteilt, gelang es Angreifern im Juni 2025, über Voice-Phishing (Vishing) an Zugangsdaten einer Salesforce-Instanz zu gelangen. Dadurch haben sich die Cyberkriminellen Zugriff auf Kundendaten verschafft, die für Erpressungsversuche genutzt werden.

Demnach sei die kompromittierte Salesforce-CRM-Instanz zur Speicherung von Kontaktdaten und Notizen kleiner und mittlerer Unternehmenskunden verwendet worden. Die Angreifer konnten so innerhalb kurzer Zeit Daten abrufen, bevor der Zugang gesperrt wurde. Laut Google beschränkten sich die erfassten Informationen jedoch auf grundlegende, meist öffentlich zugängliche Firmendaten und Kontaktdetails und enthielten weder Zugangsdaten noch Zahlungsinformationen. Auf Anfrage von "Bleepingcomputer" behaupten Vertreter von Shinyhunters jedoch, weiterhin Zugang zu der kompromittierten Salesforce-Instanz zu haben.

Die Angriffe seien Teil einer fortlaufenden Kampagne der Ransomware-Gruppe, wie es bei "Bleepingcomputer" weiter heisst. Dabei erhalten die Opfer Lösegeldforderungen per E-Mail, um die Veröffentlichung gestohlener Daten zu verhindern. In mindestens einem Fall hätte ein betroffenes Unternehmen den Angreifern vier Bitcoin gezahlt, was etwa 400'000 US-Dollar entspricht.

Neben Google seien auch andere international tätige Unternehmen von ähnlichen Attacken betroffen, heisst es weiter. Laut "Bleepingcomputer" gehören unter anderem Adidas, Allianz Life, Cisco sowie Teile des Luxusgüterkonzerns LVMH dazu.

Auch Cisco ist von einem Datenleck betroffen – Cyberkriminelle haben ebenfalls via Vishing Daten aus einem CRM des Netzwerkausrüsters abgegriffen. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.