Összefoglalás
Egy nagyszabású kibertámadás, amelyet a ShinyHunters nevű hackercsoport követett el, veszélyeztette a Google Salesforce felhőplatformján keresztül kezelt adatbázisát. Az incidenst biztonsági szakértők a Google történetének egyik legnagyobb adatlopásaként írják le, és több mint 2,5 milliárd Gmail felhasználó került potenciális kockázat alá. Bár jelszavakat közvetlenül nem loptak el, az eltulajdonított adatok (kapcsolattartási adatok, cégnevek, kapcsolódó jegyzetek) már most is visszaélésekre adnak alapot, beleértve a megnövekedett adathalász kísérleteket és fiókátvételeket.
3 perc olvasási idő
A támadás részletei
Időpont
A támadás 2025 júniusában kezdődött.
Elkövetők
A ShinyHunters (más néven UNC6040) hackercsoport a felelős az incidensért. Ez a csoport korábban is ismert volt vállalati rendszerek feltöréséről zsarolás céljából.
Módszer
Social Engineering (Társadalmi mérnökség): A támadás a “Gmail Adatvédelmi Incidens: Tömeges Kibertámadás” forrás szerint social engineering tactics alkalmazásán alapult. A csalók meggyőző telefonhívások során IT-alkalmazottaknak adták ki magukat, és rábeszéltek egy Google alkalmazottat, hogy jóváhagyjon egy rosszindulatú alkalmazást, amely a Salesforce-hoz kapcsolódik.
Adatok exfiltrálása
Ezáltal a támadók kiszivárogtathatták a kapcsolattartási adatokat, céges neveket és kapcsolódó jegyzeteket.
Eszközök
A ShinyHunters taktikája gyakran magában foglalja az IT-támogatás impersonálását, hogy alkalmazottakat trükközzenek rosszindulatú Salesforce alkalmazások jóváhagyására. Belülről a Salesforce Data Loader-hez hasonló eszközöket használnak hatalmas adathalmazok kiszívására.
Adatok típusa
Ellopott adatok közé tartoznak a kapcsolattartási adatok, céges nevek és kapcsolódó jegyzetek. A Google megerősítette, hogy felhasználói jelszavak nem kerültek ellopásra.
Google értékelése
A Google kijelentette, hogy a kompromittált adatok nagyrészt nyilvánosan elérhető üzleti információk voltak, de szakértők figyelmeztetnek, hogy még az alapvető részletek is fegyverezhetők célzott csalásokban.
Azonnali következmények és kockázatok
Adatokkal való visszaélés
Az ellopott adatokkal már visszaélnek.
Növekvő csalási hullám
A Gmail subreddit fórumokon a felhasználók adathalász e-mailek, hamisított telefonhívások és csaló SMS üzenetek számának ugrásszerű növekedéséről számoltak be.
Fiókátvételek
Sok ilyen csalás Google alkalmazottaknak adja ki magát, és arra ösztönzi az áldozatokat, hogy megosszák bejelentkezési kódjaikat vagy visszaállítsák jelszavaikat, megnyitva az utat a teljes fiókátvételek előtt.
Brute force támadások
Egyes támadók brute force bejelentkezéseket is megpróbálnak, gyenge vagy gyakori jelszavakat tesztelve, mint például a password vagy 123456.
Komoly következmények
Az áldozatok kizárhatók Gmail-fiókjukból, elveszíthetik hozzáférésüket személyes dokumentumaikhoz és fényképeikhez, vagy akár felfedhetik a hozzájuk kapcsolt pénzügyi számlákat és üzleti rendszereket.
Felhasználói védekezési stratégiák
A felhasználók a következő lépéseket tehetik fiókjaik védelme érdekében:
- Sötét Web Figyelés: Ellenőrizze, hogy Gmail címe kiszivárgott-e a sötét weben. Használja az ID Protection Data Leak Checker és Dark Web Monitoring eszközeit.
- Jelszófrissítés és MFA: Erősítse meg a fiók biztonságát a Gmail jelszavának frissítésével. Hozzon létre egyedi, erős jelszót az ID Protection ingyenes Jelszógenerátorával, és engedélyezze a többfaktoros hitelesítést (MFA) a phishing-ellenálló bejelentkezések érdekében.
- Csalás elleni eszközök: Használja a Trend Micro ScamCheck hívásblokkoló, SMS-szűrő és csalásellenőrző eszközeit, hogy megállítsa a csalókat, mielőtt elérnék Önt.
- E-mail ellenőrzés: Ellenőrizze a gyanús, Google-tól érkező e-maileket. Töltse fel a kérdéses e-maileket a ScamCheck-re, hogy megerősítse, hamisak-e.
- Passkey-ek és Google Security Checkup: A Google arra ösztönzi a felhasználókat, hogy térjenek át a passkey-ekre, amelyek ujjlenyomat- vagy arcfelismerést használnak, és ellenállnak az adathalászatnak. Addig is futtasson egy Google Security Checkup-ot.
Google válasza és korábbi incidensek
Értesítés
A Google 2025. augusztus 8-án kezdte értesíteni az érintett felhasználókat, miután befejezte az incidens elemzését.
Korábbi esetek
Ez nem az első eset, hogy a Google nagyszabású incidenssel szembesül. Korábbi incidensek a Google+ API szivárgások (2018), az OAuth-alapú Gmail adathalász támadások (2017–2018) és a Gooligan malware kampány (2016).
Tanulság
Minden incidens ugyanazt a tanulságot hozta: a támadóknak nem mindig van szükségük jelszavakra ahhoz, hogy jelentős kárt okozzanak.
ShinyHunters és UNC csoportok
Történelem
A ShinyHunters, más néven UNC6040, a vállalati rendszerek zsarolás céljából történő feltörésének történelmével rendelkezik.
Zsarolás
Egyes esetekben az ellopott információkat nem azonnal pénzzé teszik. Ehelyett egy kapcsolódó csoport, az UNC6240, hónapokkal később kapcsolatba lép az áldozatokkal, bitcoin kifizetéseket követelve és az ellopott adatok kiszivárogtatásával fenyegetve.
Jövőbeli tervek
A biztonsági kutatók úgy vélik, hogy a csoport készülhet arra, hogy fokozza ezeket a zsarolási erőfeszítéseket egy dedikált adatkisúgó oldal indításával.
Források:
• Google Data Breach Exposes 2.5 Billion Gmail Users to New Scam Risks | Trend Micro
