Un solo gruppo criminale, una sola tecnica di base e oltre 1.000 aziende compromesse. La campagna di estorsione Salesforce condotta nel 2025 e nel 2026 dal collettivo noto come Scattered Lapsus$ Hunters è diventata il più vasto furto di dati cloud mai documentato, con rivendicazioni che parlano di 1,5 miliardi di record sottratti. Non si tratta di una vulnerabilità del software, ma di una telefonata. Questo attacco Salesforce ha colpito colossi come Google, Cisco, Qantas e una lunga lista di marchi europei del lusso, dell’aviazione e delle telecomunicazioni, riscrivendo le regole su come i criminali rubano dati nell’era del SaaS.
Analizziamo i numeri, le tecniche, le vittime europee e le conseguenze per il mercato, con il contesto storico e le previsioni degli analisti che seguono il dossier da quasi un anno.
Cosa è successo: l’attacco Salesforce spiegato in breve
Tra maggio 2025 e i primi mesi del 2026, un gruppo di estorsori ha preso di mira le istanze Salesforce di centinaia di grandi organizzazioni. Il meccanismo non ha sfruttato alcun difetto della piattaforma. Gli aggressori hanno telefonato ai dipendenti, si sono spacciati per il supporto IT interno e li hanno convinti ad autorizzare un’applicazione collegata (connected app) malevola dentro Salesforce. Una volta ottenuto il via libera, l’app catturava i token OAuth e permetteva di esportare in blocco interi database di clienti tramite le API.
Secondo la società di sicurezza Push Security, la campagna ha portato alla compromissione di oltre 1.000 organizzazioni, con ShinyHunters che rivendica più di 1,5 miliardi di record Salesforce sottratti complessivamente. La stessa azienda, in una tabella aggiornata, elenca 49 vittime nominate direttamente collegate a questa ondata. Una seconda via di attacco, parallela, ha abusato dei token OAuth rubati a integratori terzi come Salesloft e il suo prodotto Drift, ampliando ulteriormente la superficie colpita.
La portata è tale che l’FBI ha diramato un avviso FLASH il 12 settembre 2025, identificando l’attività con le sigle UNC6040 e UNC6395. Per le aziende europee, la combinazione di dati personali, numeri di conto e documenti d’identità esposti apre scenari di rischio identitario e di sanzioni GDPR che si trascineranno per anni.
Chi sono gli Scattered Lapsus$ Hunters
Il nome che firma la campagna è una fusione di tre marchi criminali già noti. Secondo Varonis, la sigla UNC6040 corrisponde a ShinyHunters, gruppo specializzato nel furto e nella vendita di database, mentre UNC3944 è Scattered Spider, collettivo di lingua inglese famoso per il social engineering telefonico e per gli attacchi a MGM e Caesars nel 2023. A questi si aggiunge l’eredità di LAPSUS$, la banda di giovanissimi che nel 2022 violò Nvidia, Microsoft e Okta.
La fusione di queste tre realtà ha generato quello che ReSecurity definisce la Trinity of Chaos, una alleanza estorsiva a vocazione internazionale. Su Wikipedia il supergruppo viene catalogato proprio sotto le sigle UNC6040 e UNC6395, comparso pubblicamente intorno ad agosto 2025. Obsidian Security, in un’analisi di fine agosto, parla apertamente di una possibile fusione operativa tra ShinyHunters e Scattered Spider, basata sulla sovrapposizione di tattiche e su un’attività caotica e coordinata su Telegram.
La struttura non è quella gerarchica di un gruppo ransomware tradizionale. Si tratta di una rete fluida, con membri che entrano ed escono, accomunata da un obiettivo: rubare dati dal cloud aziendale e monetizzarli tramite estorsione diretta o rivendita. Approfondiamo le tecniche di intrusione mirata anche nella nostra analisi su Operation Neusploit e APT28.
Come funziona l’attacco: vishing e app OAuth malevole
La catena d’attacco è sorprendentemente semplice e per questo efficace. Obsidian è categorica: gli attacchi Salesforce del 2025 non hanno sfruttato vulnerabilità del software, ma esclusivamente il voice phishing (vishing) e le applicazioni collegate malevole. Ecco le tre fasi chiave documentate dai ricercatori.
Fase 1: la telefonata
Gli aggressori chiamano un dipendente, spesso di un reparto amministrativo o di customer service, e si presentano come tecnici del supporto IT. Con un pretesto credibile (un aggiornamento, un problema di accesso) inducono la vittima a entrare nel flusso di Salesforce denominato “Connetti un’app” e a inserire un codice fornito dall’attaccante.
Fase 2: l’autorizzazione OAuth
Quel codice autorizza una connected app controllata dai criminali. L’app cattura i token OAuth, che fungono da chiavi persistenti: aggirano l’autenticazione a più fattori e concedono accesso programmatico alle API. È qui che il vishing mostra la sua pericolosità: una singola voce convincente vale più di mille tentativi di forzare le password. Per capire perché la MFA da sola non basta, vedi il nostro confronto tra le principali app di autenticazione.
Fase 3: l’esfiltrazione
Con i token in mano, gli attaccanti usano strumenti come Salesforce Data Loader per esportare in blocco anagrafiche, contatti, note del servizio clienti e dati di pagamento. La ricerca di Google Threat Intelligence Group e Mandiant ha documentato in dettaglio questa metodologia, sottolineando come l’intero schema sfrutti la fiducia umana e le configurazioni permissive, non un bug. La seconda variante, evidenziata da Push Security, ha invece abusato dei token rubati a Salesloft e Drift per raggiungere i dati Salesforce a valle.
Le vittime: 1.000 aziende e 1,5 miliardi di record
La lista delle vittime è imponente e attraversa tutti i settori. Push Security ha compilato uno degli inventari più chiari, includendo nomi di primo piano della tecnologia, della finanza, del retail e dell’aviazione. ReSecurity fornisce una cifra alternativa, parlando di 1,5 miliardi di record Salesforce da 760 aziende legati ai token compromessi di Salesloft e Drift. Le due stime probabilmente si riferiscono a sottoinsiemi sovrapposti della stessa campagna e vanno trattate come rivendicazioni distinte.
| Azienda | Settore | Area | Dato rivendicato | Fonte |
|---|---|---|---|---|
| Qantas | Aviazione | Australia | ~6 milioni di clienti | ReSecurity |
| Tecnologia | USA | Vittima confermata | Obsidian | |
| Cisco | Tecnologia | USA | In elenco vittime | Push Security |
| Allianz Life | Assicurazioni | USA/Europa | Vittima confermata | Obsidian |
| Air France-KLM | Aviazione | Europa | In elenco vittime | Push Security |
| LVMH (Louis Vuitton, Dior) | Lusso | Europa | In elenco vittime | Push Security |
| Chanel | Lusso | Europa | In elenco vittime | Obsidian |
| Kering | Lusso | Europa | In elenco vittime | Push Security |
| Adidas | Retail | Europa | In elenco vittime | Push Security |
| Pandora | Retail | Europa | In elenco vittime | Push Security |
| Odido | Telecomunicazioni | Europa | 6,1 milioni di account | Push Security |
| Workday | HR/SaaS | USA | Vittima confermata | Obsidian |
| Farmers Insurance | Assicurazioni | USA | In elenco vittime | Push Security |
ReSecurity riferisce che ShinyHunters ha rivendicato la violazione di Qantas a luglio 2025, dichiarando un impatto su quasi 6 milioni di clienti. Il settore più colpito, secondo l’agenzia, comprende servizi finanziari, tecnologia, retail e compagnie aeree. Tra le altre realtà presenti negli elenchi figurano Coca-Cola Europacific Partners, TransUnion, Stellantis, 7-Eleven, Mytheresa, Carnival e numerose società di cybersicurezza che usavano Salesforce internamente.
Il colpo all’Europa: lusso, aviazione e telecomunicazioni
Per l’Italia e l’Europa il dato più rilevante è la concentrazione di marchi del lusso e di operatori critici tra le vittime. I gruppi LVMH (con Louis Vuitton e Dior), Chanel, Kering, Pandora, Adidas e il rivenditore tedesco Mytheresa rappresentano una fetta significativa del retail premium continentale. A questi si aggiungono Air France-KLM nell’aviazione e l’operatore telefonico olandese Odido, ex T-Mobile Netherlands, con i suoi 6,1 milioni di account compromessi.
Il caso Odido è emblematico perché collega questa campagna globale a un’esposizione massiccia di dati sensibili in territorio europeo: nomi, indirizzi, numeri di telefono, email, IBAN, date di nascita e numeri di passaporto. Lo abbiamo analizzato nel dettaglio nell’inchiesta dedicata alla violazione dati Odido. La presenza di marchi italiani e francesi del lusso nella lista significa che i dati di clienti altospendenti europei, profili ideali per frodi mirate, sono finiti nelle stesse mani.
Il contesto continentale è già teso. Come documentato nel nostro report sull’ENISA Threat Landscape 2025, l’Europa ha registrato un’impennata di incidenti, e l’esercitazione Cyber Europe dell’ENISA del 10-11 giugno 2026 ha messo alla prova proprio la resilienza delle infrastrutture critiche di fronte a scenari come questo.
La doppia estorsione e il sito di leak
La campagna non si è limitata al furto. Gli attaccanti hanno adottato il modello della doppia estorsione: prima rubano i dati, poi minacciano di pubblicarli se non ricevono un pagamento. Secondo UpGuard, il collettivo ha lanciato un portale di estorsione dedicato con una scadenza fissata al 10 ottobre 2025, intimando alle aziende di pagare per evitare la diffusione dei database.
| Data | Evento | Fonte |
|---|---|---|
| Maggio 2025 | Inizio documentato della campagna Salesforce | Push Security |
| Luglio 2025 | ShinyHunters rivendica la violazione Qantas (~6M clienti) | ReSecurity |
| Agosto 2025 | Comparsa pubblica del marchio Scattered Lapsus$ Hunters | Wikipedia |
| 12 settembre 2025 | FBI emette avviso FLASH su UNC6040 e UNC6395 | ReSecurity |
| 3 ottobre 2025 | Lancio del nuovo sito di leak con scadenza al 10 ottobre | UpGuard |
| Ottobre 2025 | Sequestro di BreachForums dopo le estorsioni | Wikipedia |
| 20 novembre 2025 | Nuovo canale Telegram con leak site “stay tuned” | Unit 42 |
| Febbraio 2026 | Attacco vishing a Odido, 6,1M account esposti | Push Security |
Unit 42 di Palo Alto Networks ha registrato che il 20 novembre 2025 i rappresentanti del gruppo hanno pubblicato in un nuovo canale Telegram un sito di leak con il messaggio “24 novembre 2025, stay tuned”. La pressione mediatica è parte integrante della strategia: ogni nome eccellente aggiunto alla lista aumenta il valore estorsivo e costringe le altre vittime a valutare il pagamento. Wikipedia segnala inoltre che il forum BreachForums, storica vetrina del gruppo, è stato sequestrato a ottobre 2025 proprio dopo le estorsioni pubbliche contro i clienti Salesforce.
La risposta di FBI, Google e Salesforce
La reazione delle istituzioni e dei vendor è stata coordinata su un messaggio chiaro: non è colpa del software. L’FBI, con l’avviso FLASH del 12 settembre 2025, ha allertato le organizzazioni sull’attività di UNC6040 e UNC6395, fornendo indicatori di compromissione e raccomandazioni difensive. Google Threat Intelligence Group e Mandiant hanno pubblicato analisi tecniche dettagliate, attribuendo la responsabilità al social engineering e all’abuso di OAuth piuttosto che a un difetto della piattaforma.
Da parte sua, Salesforce ha ribadito nelle proprie comunicazioni di sicurezza che la piattaforma non è stata violata e ha invitato i clienti a rafforzare i controlli sulle connected app, limitare i permessi delle API e formare il personale contro il vishing. Più vendor di sicurezza hanno convenuto che la responsabilità ricade sul modello di responsabilità condivisa del cloud: il fornitore protegge l’infrastruttura, ma il cliente deve proteggere accessi e configurazioni.
Questa dinamica ricalca quanto visto in altri incidenti recenti. Anche nell’attacco Ivanti del 2026 e nell’offensiva contro la Commissione Europea, la combinazione di accesso iniziale “legittimo” e movimento successivo ha reso l’individuazione molto più difficile rispetto a un exploit tradizionale.
Impatto sul mercato: SaaS, assicurazioni cyber e fiducia
Le ricadute economiche di questo attacco Salesforce vanno oltre le singole vittime. Il primo effetto riguarda il mercato del SaaS e delle connected app: la fiducia nelle integrazioni OAuth, pilastro dell’ecosistema cloud, è stata incrinata. Aziende e CISO stanno riesaminando ogni applicazione di terze parti collegata ai propri ambienti, e cresce la domanda di strumenti di SaaS Security Posture Management (SSPM) come quelli offerti dai vendor che hanno indagato la campagna.
Il secondo effetto colpisce il settore assicurativo cyber. Con vittime come Allianz Life e Farmers Insurance, e con il rischio di sanzioni GDPR in Europa, gli assicuratori stanno rivedendo i premi e i criteri di sottoscrizione per le polizze che coprono il furto di dati cloud. La presenza di IBAN e documenti d’identità tra i dati rubati aumenta la stima del danno per record, perché abilita frodi finanziarie dirette e non solo campagne di phishing.
Il terzo effetto è reputazionale. Per i marchi del lusso, il cui valore si fonda sull’esclusività e sulla discrezione, l’esposizione dei dati dei clienti altospendenti è un colpo all’immagine difficile da quantificare ma reale. La pressione del sito di leak trasforma ogni violazione in un evento pubblico, amplificando il danno percepito ben oltre il costo tecnico della bonifica.
Implicazioni GDPR per le aziende europee
Per le organizzazioni europee colpite, il GDPR impone obblighi stringenti. L’articolo 33 richiede di notificare la violazione all’autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla scoperta. Se la violazione comporta un rischio elevato per i diritti delle persone, l’articolo 34 obbliga a informare anche gli interessati. Con dati come IBAN, date di nascita e numeri di documento esposti per milioni di persone, la soglia del rischio elevato è ampiamente superata.
Le sanzioni potenziali sono pesanti: il GDPR prevede multe fino al 4% del fatturato annuo globale o 20 milioni di euro, a seconda di quale importo sia maggiore. Le autorità europee per la protezione dei dati, coordinate attraverso l’European Data Protection Board, valuteranno l’adeguatezza delle misure di sicurezza adottate dalle vittime. Un’azienda che non aveva limitato i permessi delle connected app o formato il personale contro il vishing potrebbe vedersi contestare una violazione del principio di sicurezza dell’articolo 32.
Il quadro normativo si intreccia con la nuova direttiva NIS2, recepita in Italia, che impone obblighi di sicurezza e segnalazione ancora più severi per i soggetti essenziali e importanti, comprese telecomunicazioni e trasporti. Per molte vittime europee, la stessa violazione potrebbe innescare procedimenti paralleli sotto GDPR e NIS2.
Contesto storico: da LAPSUS$ a Scattered Lapsus$ Hunters
Per capire la portata di questa campagna serve uno sguardo retrospettivo. Il social engineering telefonico come arma di punta non è nuovo, ma la sua industrializzazione lo è. Nel 2022 LAPSUS$ dimostrò che ragazzi armati di telefono e persuasione potevano violare Nvidia, Microsoft, Samsung e Okta. Nel 2023 Scattered Spider portò la tecnica al livello successivo, paralizzando MGM Resorts e Caesars con attacchi che combinavano vishing e ransomware.
La fusione del 2025 ha unito tre competenze complementari: la capacità di ShinyHunters di gestire e monetizzare enormi database, l’abilità di Scattered Spider nel social engineering in lingua inglese e il marchio mediatico di LAPSUS$. Il risultato è una macchina criminale che non ha bisogno di costosi exploit zero-day. Abbiamo descritto le dinamiche degli attori statali avanzati nel nostro report ENISA, ma qui la minaccia arriva da un collettivo finanziariamente motivato che usa strumenti banali.
Questo spostamento è cruciale: mentre l’industria investiva miliardi in difese perimetrali e patch management, gli attaccanti hanno semplicemente bypassato tutto chiedendo le chiavi al telefono. Il furto di dati come servizio è diventato un modello di business maturo, replicabile e scalabile.
Confronto con le campagne Snowflake e MOVEit
La campagna Salesforce si inserisce in una tendenza più ampia di attacchi al cloud e alla supply chain dei dati. Il confronto con due precedenti illuminanti aiuta a misurarne la novità.
La campagna contro Snowflake del 2024 sfruttò credenziali rubate e l’assenza di MFA per saccheggiare i data warehouse di decine di clienti, tra cui colossi delle telecomunicazioni e del retail. Anche lì non ci fu un bug della piattaforma, ma un fallimento nella configurazione degli accessi. La campagna MOVEit del 2023, opera del gruppo Clop, sfruttò invece una vera vulnerabilità zero-day nel software di trasferimento file, colpendo oltre 2.700 organizzazioni.
L’attacco Salesforce combina il peggio di entrambi: la scala industriale di MOVEit e il vettore basato su identità e configurazione di Snowflake, ma con un ingrediente in più, il vishing su misura che annulla persino la MFA. Rispetto al ransomware tradizionale documentato dal Clusit, qui non c’è cifratura né blocco dei sistemi: il danno è puramente legato all’esfiltrazione e all’estorsione, un modello più difficile da contrastare perché non lascia tracce visibili nei sistemi operativi.
Cosa dicono gli esperti
Gli analisti che seguono il dossier convergono su un punto: il problema è umano e di configurazione, non tecnologico. “Questi attacchi non sfruttano una vulnerabilità di Salesforce, ma la fiducia dei dipendenti e i permessi eccessivi delle applicazioni collegate”, è la sintesi del team di ricerca di Google Threat Intelligence Group, che ha attribuito l’attività a UNC6040 e ne ha mappato la metodologia di vishing e abuso di OAuth.
Charles Carmakal, CTO di Mandiant, ha più volte descritto gruppi come Scattered Spider e ShinyHunters come “alcuni degli attori più aggressivi e capaci nel social engineering” che la sua azienda monitori, proprio perché aggirano i controlli tecnici colpendo le persone. Sulla stessa linea, gli analisti di Google Threat Intelligence Group hanno sottolineato come la persistenza ottenuta tramite i token OAuth renda l’individuazione particolarmente complessa, perché il traffico appare legittimo.
Sul fronte difensivo, i ricercatori di Varonis insistono sulla riduzione dei permessi: “La maggior parte delle organizzazioni concede alle connected app molti più accessi del necessario”, una superficie d’attacco che il principio del minimo privilegio ridurrebbe drasticamente. Obsidian Security, dal canto suo, descrive la fusione tra ShinyHunters e Scattered Spider come “una convergenza di caos” che moltiplica la capacità offensiva dei singoli gruppi. ReSecurity inquadra infine la Trinity of Chaos come una minaccia estorsiva internazionale destinata a durare.
Cosa devono fare aziende e utenti
Per le aziende che usano Salesforce o piattaforme SaaS analoghe, la difesa passa da misure concrete e immediate.
- Limitare le connected app: consentire solo le applicazioni autorizzate tramite una allow-list e revocare quelle non riconosciute.
- Ridurre i permessi delle API: applicare il principio del minimo privilegio e limitare la possibilità di esportazione massiva dei dati.
- Formare il personale contro il vishing: simulazioni telefoniche e procedure di verifica dell’identità per ogni richiesta del “supporto IT”.
- Monitorare i token OAuth: rilevare autorizzazioni anomale e revocare i token sospetti in tempo reale.
- Segregare i dati sensibili: cifrare o mascherare IBAN, documenti e dati di pagamento all’interno del CRM.
Per gli utenti finali i cui dati potrebbero essere stati esposti, le contromisure sono quelle classiche ma essenziali: diffidare di telefonate ed email che citano dati personali corretti, monitorare gli estratti conto, attivare alert bancari e non riutilizzare le password. Una guida pratica completa è disponibile nella nostra analisi sulle violazioni di dati e come proteggersi. Chi ha subito l’esposizione dell’IBAN dovrebbe valutare con la propria banca misure di protezione contro gli addebiti non autorizzati.
Previsioni: cosa aspettarsi nel 2026 e 2027
Sulla base delle tendenze documentate, ecco cinque previsioni ragionate per i prossimi diciotto mesi.
- Il vishing diventerà mainstream: il social engineering telefonico, potenziato dalla clonazione vocale tramite IA, sarà il vettore d’attacco a più rapida crescita contro le piattaforme SaaS.
- Nuove sanzioni GDPR nel 2026: almeno una grande vittima europea della campagna riceverà una sanzione significativa, con multe potenzialmente nell’ordine delle decine di milioni di euro.
- Boom della SaaS security: la spesa in strumenti SSPM e di governance delle identità per il cloud crescerà a doppia cifra, spinta dalla paura delle connected app malevole.
- Estorsione senza cifratura: sempre più gruppi abbandoneranno il ransomware tradizionale per il puro furto ed estorsione di dati, modello più rapido e meno rilevabile.
- Pressione normativa su OAuth: i fornitori SaaS introdurranno controlli più rigidi e predefiniti sulle autorizzazioni di terze parti, rendendo più difficile l’approvazione di app non verificate.
La lezione di fondo è che la sicurezza si è spostata dal perimetro all’identità. Finché basterà una telefonata convincente per ottenere le chiavi del regno digitale, le difese tecniche resteranno incomplete. La formazione del personale e la rigorosa gestione delle autorizzazioni non sono più optional, ma la prima linea di difesa.
Related Coverage
- Violazione Odido: 6,2M Clienti Colpiti [2026]
- ENISA 2025: 4.900 Incidenti Cyber, 80% Hacktivismo
- Ransomware Italia: 166 Casi, +14% e 507 Attacchi
- Attacco Ivanti: 600 IP, CVSS 9.8, UE Colpita
- NIS2 Italia: Multe €10M e Solo 3,9% Pronto
- Google vs Microsoft vs Authy: 33M Esposti
- Violazioni di dati: come avvengono e come proteggersi
Domande frequenti
Salesforce è stata violata direttamente?
No. Secondo Obsidian, Varonis e Google Mandiant, gli attacchi non hanno sfruttato alcuna vulnerabilità della piattaforma Salesforce. Gli aggressori hanno usato il vishing per ingannare i dipendenti e far autorizzare applicazioni collegate malevole. La responsabilità ricade sulla configurazione e sui controlli lato cliente, secondo il modello di responsabilità condivisa del cloud.
Chi sono gli Scattered Lapsus$ Hunters?
Sono un collettivo criminale, noto anche come Trinity of Chaos e identificato con le sigle UNC6040 e UNC6395, nato dalla fusione di ShinyHunters, Scattered Spider e l’eredità di LAPSUS$. Si concentra sul furto di dati dal cloud aziendale e sull’estorsione, comparso pubblicamente intorno ad agosto 2025.
Quante aziende sono state colpite dall’attacco Salesforce?
Push Security parla di oltre 1.000 organizzazioni compromesse e di 1,5 miliardi di record rivendicati da ShinyHunters, con 49 vittime nominate. ReSecurity fornisce una cifra alternativa di 1,5 miliardi di record da 760 aziende legate ai token rubati a Salesloft e Drift. Le stime si riferiscono probabilmente a sottoinsiemi sovrapposti.
Quali aziende europee sono coinvolte?
Tra le vittime europee figurano i marchi del lusso LVMH (Louis Vuitton, Dior), Chanel, Kering, Pandora e Adidas, il rivenditore Mytheresa, la compagnia aerea Air France-KLM e l’operatore telefonico olandese Odido, con 6,1 milioni di account esposti.
Cosa rischiano le aziende europee sotto il GDPR?
Devono notificare la violazione all’autorità di controllo entro 72 ore (articolo 33) e informare gli interessati in caso di rischio elevato (articolo 34). Le sanzioni possono arrivare fino al 4% del fatturato annuo globale o 20 milioni di euro. La presenza di IBAN e documenti d’identità rende quasi certa la soglia del rischio elevato.
Come posso proteggermi se i miei dati sono stati esposti?
Diffida di telefonate ed email che citano i tuoi dati personali, monitora estratti conto e movimenti bancari, attiva gli alert della banca, non riutilizzare le password e abilita l’autenticazione a più fattori dove possibile. Se è stato esposto il tuo IBAN, contatta la banca per attivare protezioni contro gli addebiti non autorizzati.
L’attacco Salesforce è ancora in corso nel 2026?
Sì. La campagna iniziata a maggio 2025 si è estesa al 2026, con nuovi incidenti come la violazione di Odido a febbraio 2026. Gli analisti prevedono che il modello di vishing e abuso di OAuth continuerà a colpire le piattaforme SaaS finché le organizzazioni non rafforzeranno i controlli sulle applicazioni collegate.
