Der französische Luxuskonzern Chanel hat einen weiteren Datenvorfall in einer anhaltenden Welle von Angriffen auf Salesforce-Instanzen bestätigt. Der Konzern entdeckte am 25. Juli verdächtige Zugriffe auf eine Kundendatenbank, die bei einem externen Dienstleister gehostet wird. Betroffen waren ausschließlich Kunden in den USA; dabei wurden Name, E-Mail-Adresse, Postanschrift und Telefonnummer offengelegt.
Vorgehen der Angreifer
Sicherheitsforscher führen den Vorfall auf eine Serie von Social-Engineering-Angriffen zurück, bei der das Kriminellen-Netzwerk ShinyHunters vorrangig per Vishing (Voice-Phishing) Mitarbeiter dazu brachte, eine bösartige OAuth-App für ihre Salesforce-Instanz zu autorisieren. Nach einer erfolgreichen Kompromittierung exfiltrieren die Angreifer die Datenbank und nutzen die Daten anschließend zur Erpressung der betroffenen Unternehmen.
Reaktionen von Chanel und Salesforce
Chanel informiert die betroffenen Kunden umgehend und betont, dass keine sensibleren Daten – wie Zahlungsinformationen oder sozialversicherungsrelevante Angaben – kompromittiert wurden. Ein Unternehmenssprecher erklärte, man arbeite intensiv mit dem Dienstleister zusammen, um die genauen Umstände aufzuklären.
Salesforce stellt klar, dass keine Schwachstelle in der Plattform selbst ausgenutzt wurde. Vielmehr sei das Ziel der Angriffe das Umgehen von Zugangskontrollen durch ausgefeilte Social-Engineering-Techniken. Salesforce empfiehlt allen Kunden, mehrstufige Authentifizierung (MFA) zu aktivieren, das Prinzip der geringsten Rechte („least privilege“) umzusetzen und angeschlossene Apps sorgfältig zu verwalten.
Weitere Opfer der Kampagne
Chanel reiht sich in eine Liste prominenter Unternehmen ein, die in den letzten Wochen von ähnlichen Angriffen betroffen waren. Zu den bekannten Opfern zählen unter anderem Adidas, Qantas, Allianz Life sowie mehrere Marken des Luxuskonzerns LVMH – darunter Louis Vuitton, Dior und Tiffany & Co.
Hintergrund und Schutzmaßnahmen
Seit Anfang 2025 haben Sicherheitsbehörden und Branchenexperten eine deutliche Zunahme von Angriffen auf Salesforce-Systeme beobachtet. Dabei setzen Kriminelle weniger auf Software-Exploits, sondern auf Täuschung und den Missbrauch von Vertrauen. Bereits im Juni berichtete Reuters über eine Attacke, bei der Mitarbeiter dazu verleitet wurden, manipulierte Versionen des offiziellen Salesforce-Data-Loader-Tools zu installieren.
Unternehmen wird geraten, regelmäßige Schulungen zu Phishing und Vishing durchzuführen, alle externen Apps zu überprüfen und bei Verdacht auf unautorisierte Zugriffe sofort die zuständigen Sicherheitsteams einzuschalten. Eine robuste Backup-Strategie sowie die Überwachung von Login-Mustern können helfen, Angriffe frühzeitig zu erkennen und Schadensbegrenzung zu betreiben.
Quellen
- BleepingComputer: Fashion giant Chanel hit in wave of Salesforce data theft attacks
- WWD: Chanel entdeckt Datenabgriff über Drittanbieter
- Salesforce-Blog: Protect Against Social Engineering
- Reuters: Hackers abuse modified Salesforce app to steal data, extort companies
- WithSecure: Salesforce attacks in 2025: Why, How and What’s Next
About the Author
