Группировка, известная как ShinyHunters (она же UNC6240), развернула масштабную кампанию по сканированию и эксплуатации публично доступных сайтов на Salesforce Experience Cloud. Атакующие берут на вооружение модифицированную версию открытого инструмента AuraInspector, который изначально создавался совсем для других целей, и используют его для прямого извлечения конфиденциальных данных из CRM-систем. Сами злоумышленники называют происходящее «Salesforce Aura Campaign».
Вектор атаки строится вокруг гостевого профиля пользователя — того самого, через который неавторизованные посетители обычно видят лендинги, FAQ и справочные статьи. Проблема начинается, когда администраторы настраивают этот профиль слишком либерально, выдавая ему избыточные разрешения. Тогда атакующий может, не проходя никакой аутентификации, добраться до данных, к которым гостевой доступ вообще не предполагался. Ключевой эндпоинт, на который нацелены сканеры —
Оригинальный AuraInspector был выпущен Mandiant (подразделение Google Cloud) в январе 2026 года — так указано в первоисточнике. Исходно инструмент умел лишь зондировать API-эндпоинты и определять уязвимые объекты. То есть он работал как диагностическое средство: показывал, где проблема, но не эксплуатировал её. Модифицированная версия, которую используют ShinyHunters, пошла дальше. Она способна непосредственно выгружать чувствительные данные, отправляя запросы к объектам Salesforce CRM без какой-либо авторизации.
По заявлениям самих атакующих, им удалось успешно скомпрометировать «несколько сотен» компаний в рамках этой кампании. Скриншоты, подтверждающие масштаб операции, были опубликованы аккаунтом Dark Web Informer на платформе X (бывший Twitter). У группировки ShinyHunters есть и предыстория подобных атак — ранее они уже нацеливались на среды Salesforce через сторонние приложения, в частности Salesloft и Gainsight.
Чарльз Кармакал, технический директор Mandiant Consulting в Google Cloud, обратил внимание на эту кампанию. Mandiant сейчас работает совместно с Salesforce и пострадавшими клиентами, чтобы предоставить телеметрию и правила обнаружения для снижения рисков. Ситуация, по сути, отражает растущий тренд: киберпреступники всё активнее переключаются на так называемые «identity-based» атаки, где целью становится не взлом платформы, а злоупотребление чужими настройками доступа.
Salesforce отдельно подчеркнула, что речь не идёт об уязвимости самой платформы. Это не баг в коде и не дыра в архитектуре. Проблема целиком на стороне клиентов, которые неправильно сконфигурировали гостевые профили и не следовали рекомендациям вендора. Атака работает только при соблюдении двух условий: клиент использует гостевой профиль в Experience Cloud и при этом проигнорировал официальные гайды по настройке безопасности.
Что рекомендует Salesforce? Пересмотреть настройки гостевого пользователя в Experience Cloud. Убедиться, что параметр Default External Access для всех объектов выставлен в значение Private. Отключить гостевой доступ к публичным API. Ограничить видимость, чтобы гостевые пользователи не могли перечислять внутренних сотрудников организации. Если самостоятельная регистрация не нужна — отключить и её. Ну и мониторить логи на предмет необычных запросов, что звучит банально, но в данном случае именно аномальные запросы к Aura-эндпоинту могут стать первым сигналом.
Ситуация неприятна ещё и тем, что она показывает, как легитимный инструмент безопасности, созданный для защиты, превращается в средство нападения при минимальных модификациях. Mandiant публиковал AuraInspector, чтобы помочь компаниям находить и закрывать бреши. Злоумышленники взяли тот же код, доработали его — и запустили массовое сканирование. Классическая история с двойным назначением, которая повторяется в индустрии снова и снова.
Для компаний, использующих Salesforce Experience Cloud, момент для ревизии настроек, пожалуй, уже немного упущен — но лучше поздно. Особенно если гостевой профиль активен, а права доступа выставлялись по принципу «пусть пока работает, потом разберёмся». Именно такие конфигурации ShinyHunters и ищут. Массово.
Изображение носит иллюстративный характер
Вектор атаки строится вокруг гостевого профиля пользователя — того самого, через который неавторизованные посетители обычно видят лендинги, FAQ и справочные статьи. Проблема начинается, когда администраторы настраивают этот профиль слишком либерально, выдавая ему избыточные разрешения. Тогда атакующий может, не проходя никакой аутентификации, добраться до данных, к которым гостевой доступ вообще не предполагался. Ключевой эндпоинт, на который нацелены сканеры —
/s/sfsites/aura. Оригинальный AuraInspector был выпущен Mandiant (подразделение Google Cloud) в январе 2026 года — так указано в первоисточнике. Исходно инструмент умел лишь зондировать API-эндпоинты и определять уязвимые объекты. То есть он работал как диагностическое средство: показывал, где проблема, но не эксплуатировал её. Модифицированная версия, которую используют ShinyHunters, пошла дальше. Она способна непосредственно выгружать чувствительные данные, отправляя запросы к объектам Salesforce CRM без какой-либо авторизации.
По заявлениям самих атакующих, им удалось успешно скомпрометировать «несколько сотен» компаний в рамках этой кампании. Скриншоты, подтверждающие масштаб операции, были опубликованы аккаунтом Dark Web Informer на платформе X (бывший Twitter). У группировки ShinyHunters есть и предыстория подобных атак — ранее они уже нацеливались на среды Salesforce через сторонние приложения, в частности Salesloft и Gainsight.
Чарльз Кармакал, технический директор Mandiant Consulting в Google Cloud, обратил внимание на эту кампанию. Mandiant сейчас работает совместно с Salesforce и пострадавшими клиентами, чтобы предоставить телеметрию и правила обнаружения для снижения рисков. Ситуация, по сути, отражает растущий тренд: киберпреступники всё активнее переключаются на так называемые «identity-based» атаки, где целью становится не взлом платформы, а злоупотребление чужими настройками доступа.
Salesforce отдельно подчеркнула, что речь не идёт об уязвимости самой платформы. Это не баг в коде и не дыра в архитектуре. Проблема целиком на стороне клиентов, которые неправильно сконфигурировали гостевые профили и не следовали рекомендациям вендора. Атака работает только при соблюдении двух условий: клиент использует гостевой профиль в Experience Cloud и при этом проигнорировал официальные гайды по настройке безопасности.
Что рекомендует Salesforce? Пересмотреть настройки гостевого пользователя в Experience Cloud. Убедиться, что параметр Default External Access для всех объектов выставлен в значение Private. Отключить гостевой доступ к публичным API. Ограничить видимость, чтобы гостевые пользователи не могли перечислять внутренних сотрудников организации. Если самостоятельная регистрация не нужна — отключить и её. Ну и мониторить логи на предмет необычных запросов, что звучит банально, но в данном случае именно аномальные запросы к Aura-эндпоинту могут стать первым сигналом.
Ситуация неприятна ещё и тем, что она показывает, как легитимный инструмент безопасности, созданный для защиты, превращается в средство нападения при минимальных модификациях. Mandiant публиковал AuraInspector, чтобы помочь компаниям находить и закрывать бреши. Злоумышленники взяли тот же код, доработали его — и запустили массовое сканирование. Классическая история с двойным назначением, которая повторяется в индустрии снова и снова.
Для компаний, использующих Salesforce Experience Cloud, момент для ревизии настроек, пожалуй, уже немного упущен — но лучше поздно. Особенно если гостевой профиль активен, а права доступа выставлялись по принципу «пусть пока работает, потом разберёмся». Именно такие конфигурации ShinyHunters и ищут. Массово.
