Een rood hangslot op een zwart computertoetsenbord als symbool voor accountbeveiliging.
Nieuws14 juli · 02:094 min leestijd

ShinyHunters steelt Salesforce-data via vishing en frauduleuze OAuth-apps

ShinyHunters kaapt Salesforce-data door medewerkers telefonisch een frauduleuze OAuth-app te laten goedkeuren, meldt Microsoft. De aanval omzeilt wachtwoorden en MFA volledig, want het slachtoffer geeft de toegang zelf. Elk bedrijf op SaaS moet nu zijn app-toestemmingen controleren.

ShinyHunters kaapt bedrijfsdata uit Salesforce door medewerkers telefonisch een frauduleuze OAuth-app te laten goedkeuren, waarschuwt Microsoft in een nieuw threat-intel-rapport. De aanval draait niet om gekraakte wachtwoorden, maar om toestemming die het slachtoffer zelf geeft.

Dat maakt het voor elke Nederlandse organisatie die Salesforce of een andere SaaS-omgeving gebruikt een ander soort risico dan een gelekt wachtwoord. Een sterk wachtwoordbeleid en zelfs multifactor-authenticatie houden deze aanval niet tegen, want de medewerker geeft de app zelf toegang na een overtuigend telefoontje. De knop die telt is dus niet "reset je wachtwoord", maar de vraag wie er in jouw tenant een externe app mag koppelen en welke integraties nu al toegang hebben tot je klantdata.

Het Salesforce-kantoor aan de North Wall in Dublin, met het bedrijfslogo op de glazen gevel. Bron: David Kernan / Wikimedia Commons (CC BY 4.0)
Het Salesforce-kantoor aan de North Wall in Dublin, met het bedrijfslogo op de glazen gevel. Bron: David Kernan / Wikimedia Commons (CC BY 4.0)

Hoe de aanval werkt

De methode is opvallend laag-technisch. Iemand belt een medewerker, doet zich voor als de eigen IT-afdeling, en loodst het slachtoffer tijdens het gesprek naar de instelpagina voor gekoppelde apps in Salesforce. Daar keurt de medewerker een frauduleuze connected app goed die zich voordoet als de legitieme Salesforce Data Loader, het gratis import- en exporthulpmiddel van Salesforce zelf. Door een "verbindingscode" in te voeren die de aanvaller aanreikt, koppelt het slachtoffer de app onder controle van de aanvaller aan de eigen omgeving.

In sommige gevallen kreeg die nep-app de naam 'My Ticket Portal' om naadloos bij het IT-supportsmoesje uit het telefoontje te passen, aldus de dreigingsonderzoekers van Google. Zodra de koppeling er is, geeft het gestolen OAuth-token toegang om in bulk data te exporteren, via Data Loader of via directe queries op de gasttoegang van Salesforce. De diefstal wordt vaak weken of maanden later gevolgd door afpersing: een aparte groep eist betaling in bitcoin binnen 72 uur en claimt banden met ShinyHunters.

Een lopende campagne, niet een afgesloten incident

Microsoft beschrijft geen post-mortem van een enkele inbraak, maar een reeks golven die van medio 2025 tot medio 2026 doorloopt en nog altijd actief is. In juni 2025 werd de eigen Salesforce-omgeving van Google getroffen. Daarna verschoof de groep naar de toeleveringsketen: inbreken bij vertrouwde koppelpartners en met hun tokens verder de klanten in. Zo raakte eerder klantdata van wachtwoordmanager LastPass gelekt via een ingebroken Klue-koppeling aan Salesforce, het sales-intelligenceplatform dat aan de CRM van LastPass hing. Getroffen sectoren lopen van retail en onderwijs tot de maakindustrie.

Dezelfde daders, een breder doelwit

ShinyHunters is geen nieuwe naam in deze reeks. Dezelfde dadergroep maakte eerder salaris- en sofinummers van Nissan-werknemers buit via een lek in Oracle PeopleSoft, langs een heel ander technisch spoor. En het telefoontje als breekijzer past in een bredere golf: eerder werden Microsoft 365-gebruikers al verleid tot het aanmaken van een frauduleuze Entra-passkey via een vishinggesprek. Wat deze campagne apart maakt, is het doelwit: niet het inlogscherm, maar de OAuth-toestemming die daarachter zit.

Wat Microsoft aanraadt

De verdediging verschuift daarmee van het wachtwoord naar de toestemmingslaag. Microsoft adviseert organisaties om te controleren welke gekoppelde OAuth-apps toegang hebben tot hun Salesforce-tenant en om te beperken wie zo'n externe app überhaupt mag goedkeuren. Verder: de gasttoegang van Experience Cloud dichtzetten, gebeurtenislogging aanzetten via Salesforce Shield voor realtime-detectie, en de Salesforce-omgeving aan monitoring koppelen, zoals Microsoft Defender for Cloud Apps. Op het menselijke vlak helpt phishingbestendige authenticatie tegen het aftroggelen van codes, plus het simpele besef bij medewerkers dat de eigen IT-afdeling nooit vraagt om tijdens een telefoontje een app te koppelen of een code in te voeren.

De verschuiving die deze campagne blootlegt, is groter dan een enkele hackgroep. Naarmate bedrijven hun klantdata in SaaS-platforms en hun onderlinge koppelingen leggen, verplaatst de zwakste schakel zich van het wachtwoord naar de vraag wie er namens jou toestemming mag geven. Een aanvaller hoeft niets meer te kraken als een medewerker de deur zelf openzet voor een app die legitiem oogt. Dat maakt het overzicht van je gekoppelde apps, en de discipline om dat overzicht kort te houden, net zo goed beveiliging als je firewall.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op je SaaS-koppelingen

Ik breng in kaart welke apps en integraties toegang hebben tot je klantdata en richt de koppelingen en het toegangsbeheer zo in dat niemand per ongeluk de deur openzet. Van meedenken tot bouwen en automatiseren, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

ShinyHunters misbruikt Oracle PeopleSoft-lek bij Nissan: salaris- en sofinummers van werknemers buitgemaakt
Nieuws
6 min

30 jun 00:47

ShinyHunters misbruikt Oracle PeopleSoft-lek bij Nissan: salaris- en sofinummers van werknemers buitgemaakt

Nissan meldt een datalek nadat aanvallers een kritiek lek in Oracle PeopleSoft misbruikten. De afpersgroep ShinyHunters trof zo'n 300 systemen bij meer dan honderd organisaties. Nederlandse bedrijven met PeopleSoft moeten direct patchen.

LastPass lekt klantgegevens via supply chain-aanval op leverancier Klue
Nieuws
5 min

23 jun 12:27

LastPass lekt klantgegevens via supply chain-aanval op leverancier Klue

Aanvallers compromitteerden Klue, een tool die LastPass koppelde aan Salesforce, en stalen zo namen, e-mailadressen en adressen van klanten. De wachtwoordkluizen bleven veilig, maar de phishingkans neemt toe.

Je hebt opgeschreven wat je AI-agent mag. Alleen weet niemand wie hij is.
Inzicht
7 min

9 jul 13:03

Je hebt opgeschreven wat je AI-agent mag. Alleen weet niemand wie hij is.

AI-agenten krijgen nu een eigen digitale identiteit, van Okta en de Linux Foundation tot Estland. Wie zijn agent op geleende inloggegevens laat draaien, verliest het zicht op wie er namens hem handelt.

Datalek bij pacemakerfabrikant Medtronic raakt 3,8 miljoen mensen
Nieuws
5 min

4 jul 06:11

Datalek bij pacemakerfabrikant Medtronic raakt 3,8 miljoen mensen

Bij Medtronic, maker van pacemakers en insulinepompen, zijn de gegevens van ruim 3,8 miljoen mensen gelekt na een inbraak in de eigen bedrijfssystemen. Een scherpe casus over het risico van je leverancier.

Tweede hackersgroep eist losgeld na Klue-datalek: double extortion treft LastPass-klanten
Nieuws
5 min

25 jun 20:45

Tweede hackersgroep eist losgeld na Klue-datalek: double extortion treft LastPass-klanten

Bij het Klue-datalek beloven de oorspronkelijke hackers de buit te wissen, maar een tweede groep eist nu losgeld van klanten als LastPass. Deze double extortion verandert de risicoberekening voor elk getroffen bedrijf.

Google lanceert ARD: open standaard waarmee AI-agenten zelf hun tools vinden
Nieuws
5 min

18 jun 16:16

Google lanceert ARD: open standaard waarmee AI-agenten zelf hun tools vinden

Met Agentic Resource Discovery publiceert Google een open specificatie waarmee AI-agenten zelfstandig tools, skills en MCP-servers opzoeken en hun herkomst verifiëren. GitHub, Microsoft en Hugging Face doen mee.