En juin, Google a été victime d’une cyberattaque sophistiquée orchestrée par le gang ShinyHunters, en collaboration avec Scattered Spider. Des pirates ont exploité des techniques de phishing pour duper des employés et accéder à un serveur Salesforce, dérobant des données liées à 2,55 millions de prospects de Google Ads, la plateforme publicitaire de Google.
Une attaque par phishing vocal ciblée
Les hackers ont ciblé des employés de Google et d’autres entreprises utilisant Salesforce en se faisant passer pour le service informatique du CRM. Par des appels vocaux, ils ont convaincu leurs victimes d’installer une fausse version de l’outil Salesforce Data Loader, ouvrant ainsi un accès aux bases de données. Comme l’explique l’équipe Google Threat Intelligence, ces manipulations reposaient sur des techniques d’ingénierie sociale, sans exploiter de faille dans Salesforce. Ce stratagème a permis aux attaquants de récupérer des informations d’identification et de compromettre un serveur.
La brèche a affecté un ensemble limité de données au sein d’une instance Salesforce utilisée pour gérer les prospects de Google Ads. Parmi les informations volées figurent des noms d’entreprises, des numéros de téléphone et des notes associées, soit environ 2,55 millions d’enregistrements. Google minimise l’impact, précisant que ces données, principalement des informations commerciales de base et largement accessibles au public, ont été exfiltrées sur une courte période avant que l’accès ne soit coupé. L’entreprise a notifié les personnes concernées plusieurs semaines après avoir détecté la compromission.
ShinyHunters et Scattered Spider derrière l’attaque
Le gang ShinyHunters, associé à Scattered Spider et Lapsus$, se trouve au cœur de cette offensive. Contacté par BleepingComputer, ShinyHunters a révélé que Scattered Spider s’est chargé de l’intrusion initiale, tandis qu’eux-mêmes ont géré l’exfiltration des données pour exiger une rançon de 2,3 millions de dollars en bitcoins. Spécialisé dans le vol et la revente de données, ce groupe multiplie les attaques contre des cibles majeures, exploitant des failles humaines plutôt que technologiques.
Google continue d’enquêter et renforce ses mesures de sécurité pour prévenir de futures attaques. Cette fuite, bien que limitée dans son impact, rappelle la menace croissante des cybercriminels et l’importance de sensibiliser les employés aux techniques de phishing. C’est l’occasion de rappeler qu’il y a eu deux cyberattaques en France il y a peu. Cela a touché Bouygues Telecom et Air France.
