Thought Leadership
Der US-Versicherer Allianz Life war Mitte Juli Ziel eines Cyberangriffs geworden. Unbekannte Hacker veröffentlichten nun sensible Daten von rund 2,8 Millionen Datensätzen, die Informationen zu Kunden und Geschäftspartnern enthalten.
Hinter der Attacke steht mutmaßlich die Hackergruppe ShinyHunters, die bereits für zahlreiche Angriffe auf Unternehmen weltweit bekannt ist.
Datenleck über Salesforce-Systeme
Der Angriff geht auf den 16. Juli zurück. Laut Allianz Life wurden persönliche Daten eines Großteils der 1,4 Millionen Kunden aus einem cloudbasierten CRM-System eines Drittanbieters entwendet. Offiziell nannte das Unternehmen den Anbieter nicht, doch Recherchen von BleepingComputer deuten klar auf die Plattform Salesforce hin.
Bei dem veröffentlichten Datenbestand handelt es sich um Tabellen aus den Salesforce-Datenbanken „Accounts“ und „Contacts“. Enthalten sind unter anderem:
- Namen, Adressen und Telefonnummern
- Geburtsdaten und Steueridentifikationsnummern
- Berufliche Angaben wie Lizenzen, Unternehmenszugehörigkeit und Produktfreigaben
Betroffen sind nicht nur Privatkunden, sondern auch Geschäftspartner wie Vermögensverwalter, Makler und Finanzberater.
Verbindung zu einer Serie von Angriffen
Der Allianz-Hack ist Teil einer größeren Angriffswelle auf Salesforce-Instanzen. Seit Jahresbeginn sollen die Täter Mitarbeiter verschiedener Firmen mit Social-Engineering-Methoden dazu gebracht haben, eine manipulierte OAuth-App mit den Salesforce-Systemen zu verknüpfen. Diese Verbindung nutzten sie, um komplette Datenbanken herunterzuladen und anschließend Erpressungsversuche zu starten.
Die Forderungen wurden per E-Mail gestellt und im Namen der Gruppe ShinyHunters unterschrieben. Diese ist bereits für Angriffe auf Unternehmen wie AT&T oder PowerSchool bekannt. Auffällig ist jedoch, dass die aktuelle Angriffsmethode eher an die Gruppe Scattered Spider erinnert, die ebenfalls für geschickte Social-Engineering- und SIM-Swap-Angriffe berüchtigt ist.
Laut den Tätern arbeiten ShinyHunters und Scattered Spider mittlerweile zusammen. Zudem bestehen mutmaßliche personelle Überschneidungen mit der Gruppe Lapsus$, die zwischen 2022 und 2023 Unternehmen wie Microsoft, Uber oder T-Mobile kompromittierte.
In den vergangenen Jahren wurden mehrere Mitglieder dieser Hacker-Kollektive verhaftet. Unklar bleibt, ob hinter den aktuellen Angriffen dieselben Personen stehen, neue Akteure die Namen weiterverwenden oder gezielt falsche Spuren gelegt werden.
Allianz Life selbst erklärte gegenüber BleepingComputer, dass man aufgrund laufender Ermittlungen derzeit keine weiteren Details bekannt geben könne.
