Microsoft Ungkap Tiga Jalur Pencurian Data Salesforce Terhubung ShinyHunters Selama Setahun
- Tiga Jalur Intrusi yang Ditemukan Microsoft
- Jalur Pertama: Panggilan Vishing yang Menipu Karyawan
- Jalur Kedua: Token OAuth Dicuri dari Vendor Terpercaya
- Jalur Ketiga: Akses Tamu yang Salah Konfigurasi pada Salesforce Aura
- Upaya Microsoft dan Salesforce dalam Deteksi dan Pencegahan
- Langkah Praktis Memperkuat Keamanan Salesforce
- Analisis Redaksi
Microsoft baru saja memetakan tiga jalur serangan yang digunakan selama setahun terakhir untuk mencuri data dari lingkungan Salesforce perusahaan, yang terkait dengan kelompok peretas bernama ShinyHunters. Serangan ini berlangsung dari pertengahan 2025 hingga pertengahan 2026 dan mengeksploitasi kepercayaan yang sudah diberikan organisasi pada aplikasi OAuth, token vendor pihak ketiga, serta akses tamu yang salah konfigurasi, tanpa mengeksploitasi kerentanan platform Salesforce itu sendiri.
Tiga Jalur Intrusi yang Ditemukan Microsoft
Dalam penelitian yang dipublikasikan pada 13 Juli 2026, Microsoft mengidentifikasi tiga jalur utama yang dipakai pelaku untuk masuk ke lingkungan Salesforce tanpa terdeteksi oleh pemantauan sign-in dan autentikasi biasa:
- Vishing atau panggilan suara palsu yang menipu karyawan untuk menyetujui aplikasi terhubung berbahaya.
- Pencurian token OAuth dari vendor perangkat lunak yang sudah dipercaya.
- Akses tamu yang salah konfigurasi pada situs Salesforce yang memungkinkan pengambilan data tanpa autentikasi.
Ketiga jalur ini telah mencakup berbagai insiden di sektor ritel, pendidikan, dan manufaktur, secara luas melintasi banyak penyewa Salesforce.
Jalur Pertama: Panggilan Vishing yang Menipu Karyawan
Dimulai pada pertengahan 2025, pelaku menggunakan teknik voice phishing dengan berpura-pura sebagai tim dukungan TI. Mereka mengarahkan karyawan untuk menyetujui aplikasi OAuth yang dikendalikan penyerang lewat layar persetujuan Salesforce, dengan aplikasi tersebut menyamar sebagai alat resmi Salesforce seperti Data Loader.
Setelah aplikasi mendapat izin, penyerang bisa menggunakan API atas nama pengguna tersebut untuk mengakses data CRM secara terus-menerus, mencari kredensial lain, dan memperluas akses ke platform SaaS lainnya tanpa perlu malware atau pencurian kata sandi. Cukup melalui panggilan telepon dan klik persetujuan.
"Panggilan ini mengeksploitasi naluri karyawan untuk membantu, sementara pemeriksaan identitas standar sering tidak berlaku. Langkah aman adalah mengakhiri panggilan dan menghubungi kembali melalui saluran resmi," kata Mandiant sebagai bagian dari saran mitigasi.
Gelombang serangan ini juga dikaitkan dengan insiden di Google, Chanel, Pandora, Adidas, Qantas, Allianz Life, dan beberapa merek LVMH.
Jalur Kedua: Token OAuth Dicuri dari Vendor Terpercaya
Berbeda dengan jalur pertama, jalur kedua tidak melibatkan karyawan secara langsung. Penyerang berhasil mengakses vendor pihak ketiga dengan OAuth yang sudah terintegrasi dengan banyak pelanggan Salesforce. Mereka mencuri token dan rahasia koneksi dari vendor tersebut, lalu menggunakannya untuk mengakses data di berbagai instance Salesforce secara bersamaan.
Karena berasal dari integrasi resmi, aktivitas ini tidak memicu alarm sign-in dan tampak seperti otomatisasi biasa. Contoh terbesar adalah kompromi Salesloft Drift pada Agustus 2025, di mana token OAuth Drift AI chat dicuri dan digunakan untuk mengakses data pelanggan seperti Cloudflare, Zscaler, dan Palo Alto Networks.
Penelusuran lebih lanjut menunjukkan pelaku telah mengakses akun GitHub Salesloft sejak Maret 2025 untuk mencapai lingkungan AWS Drift dan mengambil token. Kemudian mereka menjalankan kueri SOQL untuk mencari kunci AWS, token Snowflake, dan kata sandi, lalu menghapus jejak kueri untuk menghambat investigasi.
Juga terdapat insiden lain pada November 2025 terhadap Gainsight dan Juni 2026 terhadap Klue, di mana token OAuth dan kredensial lama yang tidak digunakan dipakai untuk mengakses data pelanggan seperti Huntress dan Recorded Future.
Jalur Ketiga: Akses Tamu yang Salah Konfigurasi pada Salesforce Aura
Jalur terakhir bahkan tidak memerlukan kredensial sama sekali. Microsoft mengamati peningkatan aktivitas mencurigakan dari pengguna tamu terhadap endpoint Salesforce Aura, yang merupakan kerangka Experience Cloud. Jika perizinan pengguna tamu salah konfigurasi, pelaku dapat mengakses data dengan memanggil controller GraphQL Aura dan mengambil data melebihi batas standar 2.000 catatan.
Ini bukan eksploitasi bug, melainkan akibat konfigurasi yang membiarkan pengguna tamu melihat data lebih luas dari seharusnya.
Upaya Microsoft dan Salesforce dalam Deteksi dan Pencegahan
Microsoft bekerja sama dengan Salesforce meluncurkan fitur baru di Defender for Cloud Apps untuk meningkatkan deteksi serangan ini. Bagi pelanggan Salesforce Shield Event Monitoring, pembaruan konektor Salesforce kini mengaktifkan framework Real-Time Event Monitoring yang memungkinkan deteksi hampir secara real-time, dengan atribusi aplikasi terhubung dan konteks sesi serta API yang lebih lengkap.
Selain deteksi, Microsoft menambahkan fitur tata kelola yang memantau aplikasi OAuth, termasuk:
- Daftar aplikasi dengan izin tinggi yang perlu diawasi.
- Menampilkan aplikasi yang tidak aktif selama 90 hari tapi masih menyimpan izin.
- Memberikan skor risiko dari 0 hingga 100 per aplikasi untuk alert dan kebijakan keamanan.
Tujuannya adalah mengidentifikasi aplikasi yang berlebihan izinnya atau terlupakan sebelum disalahgunakan pihak lain.
Langkah Praktis Memperkuat Keamanan Salesforce
Microsoft dan vendor menyarankan langkah-langkah berikut untuk mengurangi risiko:
- Hubungkan Salesforce dengan Defender for Cloud Apps untuk telemetri tambahan.
- Aktifkan dan pantau log event Salesforce secara aktif.
- Batasi akses pengguna tamu Experience Cloud sesuai kebutuhan.
- Inventarisasi aplikasi terhubung, hapus yang tidak terpakai, dan terapkan prinsip least privilege.
- Segera cabut dan putar ulang token jika ada perilaku aplikasi yang mencurigakan.
Intinya, kontrol identitas tradisional yang fokus pada login manusia seperti MFA dan akses kondisional belum memadai untuk mengawasi aplikasi OAuth, akun integrasi, dan kredensial layanan yang berperan besar dalam ekosistem Salesforce modern.
Analisis Redaksi
Menurut pandangan redaksi, kasus ini menegaskan bahwa keamanan identitas digital di era SaaS harus melampaui perlindungan login user biasa. Pelaku yang memanfaatkan OAuth dan integrasi pihak ketiga menunjukkan bahwa kelemahan terbesar justru ada pada pengelolaan izin aplikasi dan peran otomatisasi yang tidak diawasi.
Hal ini menuntut perusahaan untuk mengadopsi pendekatan keamanan yang lebih holistik, termasuk pemantauan aktivitas aplikasi secara real-time dan penilaian risiko aplikasi secara berkala. Mengabaikan hal ini berpotensi membuka pintu besar bagi peretasan dan pencurian data yang sulit dideteksi oleh sistem keamanan konvensional.
Ke depan, perusahaan harus waspada terhadap teknik social engineering yang semakin canggih dan memanfaatkan kepercayaan internal, serta memperketat kontrol terhadap vendor dan akses tamu. Penyelidikan lebih lanjut juga diperlukan untuk memahami kaitan antara kelompok peretas ShinyHunters dan entitas lain seperti Icarus, mengingat klaim identitas yang tumpang tindih dan opportunistik.
Untuk detail lebih lengkap dan pembaruan terkini terkait ancaman keamanan siber ini, pembaca dapat merujuk pada sumber asli Microsoft yang dirilis melalui The Hacker News dan laporan resmi dari Salesforce serta Microsoft Defender.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0