ShinyHunters kaapt bedrijfsdata uit Salesforce door medewerkers telefonisch een frauduleuze OAuth-app te laten goedkeuren, waarschuwt Microsoft in een nieuw threat-intel-rapport. De aanval draait niet om gekraakte wachtwoorden, maar om toestemming die het slachtoffer zelf geeft.
Dat maakt het voor elke Nederlandse organisatie die Salesforce of een andere SaaS-omgeving gebruikt een ander soort risico dan een gelekt wachtwoord. Een sterk wachtwoordbeleid en zelfs multifactor-authenticatie houden deze aanval niet tegen, want de medewerker geeft de app zelf toegang na een overtuigend telefoontje. De knop die telt is dus niet "reset je wachtwoord", maar de vraag wie er in jouw tenant een externe app mag koppelen en welke integraties nu al toegang hebben tot je klantdata.

Hoe de aanval werkt
De methode is opvallend laag-technisch. Iemand belt een medewerker, doet zich voor als de eigen IT-afdeling, en loodst het slachtoffer tijdens het gesprek naar de instelpagina voor gekoppelde apps in Salesforce. Daar keurt de medewerker een frauduleuze connected app goed die zich voordoet als de legitieme Salesforce Data Loader, het gratis import- en exporthulpmiddel van Salesforce zelf. Door een "verbindingscode" in te voeren die de aanvaller aanreikt, koppelt het slachtoffer de app onder controle van de aanvaller aan de eigen omgeving.
In sommige gevallen kreeg die nep-app de naam 'My Ticket Portal' om naadloos bij het IT-supportsmoesje uit het telefoontje te passen, aldus de dreigingsonderzoekers van Google. Zodra de koppeling er is, geeft het gestolen OAuth-token toegang om in bulk data te exporteren, via Data Loader of via directe queries op de gasttoegang van Salesforce. De diefstal wordt vaak weken of maanden later gevolgd door afpersing: een aparte groep eist betaling in bitcoin binnen 72 uur en claimt banden met ShinyHunters.
Een lopende campagne, niet een afgesloten incident
Microsoft beschrijft geen post-mortem van een enkele inbraak, maar een reeks golven die van medio 2025 tot medio 2026 doorloopt en nog altijd actief is. In juni 2025 werd de eigen Salesforce-omgeving van Google getroffen. Daarna verschoof de groep naar de toeleveringsketen: inbreken bij vertrouwde koppelpartners en met hun tokens verder de klanten in. Zo raakte eerder klantdata van wachtwoordmanager LastPass gelekt via een ingebroken Klue-koppeling aan Salesforce, het sales-intelligenceplatform dat aan de CRM van LastPass hing. Getroffen sectoren lopen van retail en onderwijs tot de maakindustrie.
Dezelfde daders, een breder doelwit
ShinyHunters is geen nieuwe naam in deze reeks. Dezelfde dadergroep maakte eerder salaris- en sofinummers van Nissan-werknemers buit via een lek in Oracle PeopleSoft, langs een heel ander technisch spoor. En het telefoontje als breekijzer past in een bredere golf: eerder werden Microsoft 365-gebruikers al verleid tot het aanmaken van een frauduleuze Entra-passkey via een vishinggesprek. Wat deze campagne apart maakt, is het doelwit: niet het inlogscherm, maar de OAuth-toestemming die daarachter zit.
Wat Microsoft aanraadt
De verdediging verschuift daarmee van het wachtwoord naar de toestemmingslaag. Microsoft adviseert organisaties om te controleren welke gekoppelde OAuth-apps toegang hebben tot hun Salesforce-tenant en om te beperken wie zo'n externe app überhaupt mag goedkeuren. Verder: de gasttoegang van Experience Cloud dichtzetten, gebeurtenislogging aanzetten via Salesforce Shield voor realtime-detectie, en de Salesforce-omgeving aan monitoring koppelen, zoals Microsoft Defender for Cloud Apps. Op het menselijke vlak helpt phishingbestendige authenticatie tegen het aftroggelen van codes, plus het simpele besef bij medewerkers dat de eigen IT-afdeling nooit vraagt om tijdens een telefoontje een app te koppelen of een code in te voeren.
De verschuiving die deze campagne blootlegt, is groter dan een enkele hackgroep. Naarmate bedrijven hun klantdata in SaaS-platforms en hun onderlinge koppelingen leggen, verplaatst de zwakste schakel zich van het wachtwoord naar de vraag wie er namens jou toestemming mag geven. Een aanvaller hoeft niets meer te kraken als een medewerker de deur zelf openzet voor een app die legitiem oogt. Dat maakt het overzicht van je gekoppelde apps, en de discipline om dat overzicht kort te houden, net zo goed beveiliging als je firewall.
Veelgestelde vragen
Grip op je SaaS-koppelingen
Ik breng in kaart welke apps en integraties toegang hebben tot je klantdata en richt de koppelingen en het toegangsbeheer zo in dat niemand per ongeluk de deur openzet. Van meedenken tot bouwen en automatiseren, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
