{"id":112,"date":"2026-06-14T04:40:12","date_gmt":"2026-06-14T04:40:12","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/14\/estorsione-salesforce-shinyhunters\/"},"modified":"2026-06-14T04:41:38","modified_gmt":"2026-06-14T04:41:38","slug":"estorsione-salesforce-shinyhunters","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/14\/estorsione-salesforce-shinyhunters\/","title":{"rendered":"Estorsione Salesforce: 1,5 Mld di Dati Rubati [2026]"},"content":{"rendered":"\n

Un solo gruppo criminale, una sola tecnica di base e oltre 1.000 aziende<\/strong> compromesse. La campagna di estorsione Salesforce<\/strong> condotta nel 2025 e nel 2026 dal collettivo noto come Scattered Lapsus$ Hunters \u00e8 diventata il pi\u00f9 vasto furto di dati cloud mai documentato, con rivendicazioni che parlano di 1,5 miliardi di record<\/strong> sottratti. Non si tratta di una vulnerabilit\u00e0 del software, ma di una telefonata. Questo attacco Salesforce<\/strong> ha colpito colossi come Google, Cisco, Qantas e una lunga lista di marchi europei del lusso, dell’aviazione e delle telecomunicazioni, riscrivendo le regole su come i criminali rubano dati nell’era del SaaS.<\/p>\n\n\n\n

Analizziamo i numeri, le tecniche, le vittime europee e le conseguenze per il mercato, con il contesto storico e le previsioni degli analisti che seguono il dossier da quasi un anno.<\/p>\n\n\n\n

Cosa \u00e8 successo: l’attacco Salesforce spiegato in breve<\/h2>\n\n\n\n

Tra maggio 2025 e i primi mesi del 2026, un gruppo di estorsori ha preso di mira le istanze Salesforce di centinaia di grandi organizzazioni. Il meccanismo non ha sfruttato alcun difetto della piattaforma. Gli aggressori hanno telefonato ai dipendenti, si sono spacciati per il supporto IT interno e li hanno convinti ad autorizzare un’applicazione collegata (connected app) malevola dentro Salesforce. Una volta ottenuto il via libera, l’app catturava i token OAuth e permetteva di esportare in blocco interi database di clienti tramite le API.<\/p>\n\n\n\n

Secondo la societ\u00e0 di sicurezza Push Security, la campagna ha portato alla compromissione di oltre 1.000 organizzazioni<\/strong>, con ShinyHunters che rivendica pi\u00f9 di 1,5 miliardi di record Salesforce<\/strong> sottratti complessivamente. La stessa azienda, in una tabella aggiornata, elenca 49 vittime nominate<\/strong> direttamente collegate a questa ondata. Una seconda via di attacco, parallela, ha abusato dei token OAuth rubati a integratori terzi come Salesloft e il suo prodotto Drift, ampliando ulteriormente la superficie colpita.<\/p>\n\n\n\n

La portata \u00e8 tale che l’FBI ha diramato un avviso FLASH il 12 settembre 2025<\/a>, identificando l’attivit\u00e0 con le sigle UNC6040 e UNC6395. Per le aziende europee, la combinazione di dati personali, numeri di conto e documenti d’identit\u00e0 esposti apre scenari di rischio identitario e di sanzioni GDPR che si trascineranno per anni.<\/p>\n\n\n\n

Chi sono gli Scattered Lapsus$ Hunters<\/h2>\n\n\n\n

Il nome che firma la campagna \u00e8 una fusione di tre marchi criminali gi\u00e0 noti. Secondo Varonis, la sigla UNC6040 corrisponde a ShinyHunters<\/strong>, gruppo specializzato nel furto e nella vendita di database, mentre UNC3944 \u00e8 Scattered Spider<\/strong>, collettivo di lingua inglese famoso per il social engineering telefonico e per gli attacchi a MGM e Caesars nel 2023. A questi si aggiunge l’eredit\u00e0 di LAPSUS$, la banda di giovanissimi che nel 2022 viol\u00f2 Nvidia, Microsoft e Okta.<\/p>\n\n\n\n

La fusione di queste tre realt\u00e0 ha generato quello che ReSecurity definisce la Trinity of Chaos<\/strong>, una alleanza estorsiva a vocazione internazionale. Su Wikipedia il supergruppo viene catalogato proprio sotto le sigle UNC6040 e UNC6395, comparso pubblicamente intorno ad agosto 2025. Obsidian Security, in un’analisi di fine agosto, parla apertamente di una possibile fusione operativa tra ShinyHunters e Scattered Spider, basata sulla sovrapposizione di tattiche e su un’attivit\u00e0 caotica e coordinata su Telegram.<\/p>\n\n\n\n

La struttura non \u00e8 quella gerarchica di un gruppo ransomware tradizionale. Si tratta di una rete fluida, con membri che entrano ed escono, accomunata da un obiettivo: rubare dati dal cloud aziendale e monetizzarli tramite estorsione diretta o rivendita. Approfondiamo le tecniche di intrusione mirata anche nella nostra analisi su Operation Neusploit e APT28<\/a>.<\/p>\n\n\n\n

Come funziona l’attacco: vishing e app OAuth malevole<\/h2>\n\n\n\n

La catena d’attacco \u00e8 sorprendentemente semplice e per questo efficace. Obsidian \u00e8 categorica: gli attacchi Salesforce del 2025 non hanno sfruttato vulnerabilit\u00e0 del software<\/strong>, ma esclusivamente il voice phishing (vishing) e le applicazioni collegate malevole. Ecco le tre fasi chiave documentate dai ricercatori.<\/p>\n\n\n\n

Fase 1: la telefonata<\/h3>\n\n\n\n

Gli aggressori chiamano un dipendente, spesso di un reparto amministrativo o di customer service, e si presentano come tecnici del supporto IT. Con un pretesto credibile (un aggiornamento, un problema di accesso) inducono la vittima a entrare nel flusso di Salesforce denominato “Connetti un’app” e a inserire un codice fornito dall’attaccante.<\/p>\n\n\n\n

Fase 2: l’autorizzazione OAuth<\/h3>\n\n\n\n

Quel codice autorizza una connected app controllata dai criminali. L’app cattura i token OAuth, che fungono da chiavi persistenti: aggirano l’autenticazione a pi\u00f9 fattori e concedono accesso programmatico alle API. \u00c8 qui che il vishing<\/strong> mostra la sua pericolosit\u00e0: una singola voce convincente vale pi\u00f9 di mille tentativi di forzare le password. Per capire perch\u00e9 la MFA da sola non basta, vedi il nostro confronto tra le principali app di autenticazione<\/a>.<\/p>\n\n\n\n

Fase 3: l’esfiltrazione<\/h3>\n\n\n\n

Con i token in mano, gli attaccanti usano strumenti come Salesforce Data Loader per esportare in blocco anagrafiche, contatti, note del servizio clienti e dati di pagamento. La ricerca di Google Threat Intelligence Group e Mandiant<\/a> ha documentato in dettaglio questa metodologia, sottolineando come l’intero schema sfrutti la fiducia umana e le configurazioni permissive, non un bug. La seconda variante, evidenziata da Push Security, ha invece abusato dei token rubati a Salesloft e Drift per raggiungere i dati Salesforce a valle.<\/p>\n\n\n\n

Le vittime: 1.000 aziende e 1,5 miliardi di record<\/h2>\n\n\n\n

La lista delle vittime \u00e8 imponente e attraversa tutti i settori. Push Security ha compilato uno degli inventari pi\u00f9 chiari, includendo nomi di primo piano della tecnologia, della finanza, del retail e dell’aviazione. ReSecurity fornisce una cifra alternativa, parlando di 1,5 miliardi di record Salesforce da 760 aziende<\/strong> legati ai token compromessi di Salesloft e Drift. Le due stime probabilmente si riferiscono a sottoinsiemi sovrapposti della stessa campagna e vanno trattate come rivendicazioni distinte.<\/p>\n\n\n\n

Azienda<\/th>Settore<\/th>Area<\/th>Dato rivendicato<\/th>Fonte<\/th><\/tr><\/thead>
Qantas<\/td>Aviazione<\/td>Australia<\/td>~6 milioni di clienti<\/td>ReSecurity<\/td><\/tr>
Google<\/td>Tecnologia<\/td>USA<\/td>Vittima confermata<\/td>Obsidian<\/td><\/tr>
Cisco<\/td>Tecnologia<\/td>USA<\/td>In elenco vittime<\/td>Push Security<\/td><\/tr>
Allianz Life<\/td>Assicurazioni<\/td>USA\/Europa<\/td>Vittima confermata<\/td>Obsidian<\/td><\/tr>
Air France-KLM<\/td>Aviazione<\/td>Europa<\/td>In elenco vittime<\/td>Push Security<\/td><\/tr>
LVMH (Louis Vuitton, Dior)<\/td>Lusso<\/td>Europa<\/td>In elenco vittime<\/td>Push Security<\/td><\/tr>
Chanel<\/td>Lusso<\/td>Europa<\/td>In elenco vittime<\/td>Obsidian<\/td><\/tr>
Kering<\/td>Lusso<\/td>Europa<\/td>In elenco vittime<\/td>Push Security<\/td><\/tr>
Adidas<\/td>Retail<\/td>Europa<\/td>In elenco vittime<\/td>Push Security<\/td><\/tr>
Pandora<\/td>Retail<\/td>Europa<\/td>In elenco vittime<\/td>Push Security<\/td><\/tr>
Odido<\/td>Telecomunicazioni<\/td>Europa<\/td>6,1 milioni di account<\/td>Push Security<\/td><\/tr>
Workday<\/td>HR\/SaaS<\/td>USA<\/td>Vittima confermata<\/td>Obsidian<\/td><\/tr>
Farmers Insurance<\/td>Assicurazioni<\/td>USA<\/td>In elenco vittime<\/td>Push Security<\/td><\/tr><\/tbody><\/table>
Selezione di vittime documentate della campagna di estorsione Salesforce. Le cifre sono rivendicazioni degli attaccanti o conferme delle vittime, non dati riconciliati.<\/figcaption><\/figure>\n\n\n\n

ReSecurity riferisce che ShinyHunters ha rivendicato la violazione di Qantas a luglio 2025, dichiarando un impatto su quasi 6 milioni di clienti<\/strong>. Il settore pi\u00f9 colpito, secondo l’agenzia, comprende servizi finanziari, tecnologia, retail e compagnie aeree. Tra le altre realt\u00e0 presenti negli elenchi figurano Coca-Cola Europacific Partners, TransUnion, Stellantis, 7-Eleven, Mytheresa, Carnival e numerose societ\u00e0 di cybersicurezza che usavano Salesforce internamente.<\/p>\n\n\n\n

Il colpo all’Europa: lusso, aviazione e telecomunicazioni<\/h2>\n\n\n\n

Per l’Italia e l’Europa il dato pi\u00f9 rilevante \u00e8 la concentrazione di marchi del lusso e di operatori critici tra le vittime. I gruppi LVMH<\/strong> (con Louis Vuitton e Dior), Chanel<\/strong>, Kering<\/strong>, Pandora<\/strong>, Adidas<\/strong> e il rivenditore tedesco Mytheresa rappresentano una fetta significativa del retail premium continentale. A questi si aggiungono Air France-KLM<\/strong> nell’aviazione e l’operatore telefonico olandese Odido<\/strong>, ex T-Mobile Netherlands, con i suoi 6,1 milioni di account compromessi.<\/p>\n\n\n\n

Il caso Odido \u00e8 emblematico perch\u00e9 collega questa campagna globale a un’esposizione massiccia di dati sensibili in territorio europeo: nomi, indirizzi, numeri di telefono, email, IBAN, date di nascita e numeri di passaporto. Lo abbiamo analizzato nel dettaglio nell’inchiesta dedicata alla violazione dati Odido<\/a>. La presenza di marchi italiani e francesi del lusso nella lista significa che i dati di clienti altospendenti europei, profili ideali per frodi mirate, sono finiti nelle stesse mani.<\/p>\n\n\n\n

Il contesto continentale \u00e8 gi\u00e0 teso. Come documentato nel nostro report sull’ENISA Threat Landscape 2025<\/a>, l’Europa ha registrato un’impennata di incidenti, e l’esercitazione Cyber Europe dell’ENISA del 10-11 giugno 2026 ha messo alla prova proprio la resilienza delle infrastrutture critiche di fronte a scenari come questo.<\/p>\n\n\n\n

La doppia estorsione e il sito di leak<\/h2>\n\n\n\n

La campagna non si \u00e8 limitata al furto. Gli attaccanti hanno adottato il modello della doppia estorsione: prima rubano i dati, poi minacciano di pubblicarli se non ricevono un pagamento. Secondo UpGuard, il collettivo ha lanciato un portale di estorsione dedicato con una scadenza fissata al 10 ottobre 2025<\/strong>, intimando alle aziende di pagare per evitare la diffusione dei database.<\/p>\n\n\n\n

Data<\/th>Evento<\/th>Fonte<\/th><\/tr><\/thead>
Maggio 2025<\/td>Inizio documentato della campagna Salesforce<\/td>Push Security<\/td><\/tr>
Luglio 2025<\/td>ShinyHunters rivendica la violazione Qantas (~6M clienti)<\/td>ReSecurity<\/td><\/tr>
Agosto 2025<\/td>Comparsa pubblica del marchio Scattered Lapsus$ Hunters<\/td>Wikipedia<\/td><\/tr>
12 settembre 2025<\/td>FBI emette avviso FLASH su UNC6040 e UNC6395<\/td>ReSecurity<\/td><\/tr>
3 ottobre 2025<\/td>Lancio del nuovo sito di leak con scadenza al 10 ottobre<\/td>UpGuard<\/td><\/tr>
Ottobre 2025<\/td>Sequestro di BreachForums dopo le estorsioni<\/td>Wikipedia<\/td><\/tr>
20 novembre 2025<\/td>Nuovo canale Telegram con leak site “stay tuned”<\/td>Unit 42<\/td><\/tr>
Febbraio 2026<\/td>Attacco vishing a Odido, 6,1M account esposti<\/td>Push Security<\/td><\/tr><\/tbody><\/table>
Cronologia essenziale della campagna di estorsione Salesforce, 2025-2026.<\/figcaption><\/figure>\n\n\n\n

Unit 42 di Palo Alto Networks ha registrato che il 20 novembre 2025 i rappresentanti del gruppo hanno pubblicato in un nuovo canale Telegram un sito di leak con il messaggio “24 novembre 2025, stay tuned”. La pressione mediatica \u00e8 parte integrante della strategia: ogni nome eccellente aggiunto alla lista aumenta il valore estorsivo e costringe le altre vittime a valutare il pagamento. Wikipedia segnala inoltre che il forum BreachForums, storica vetrina del gruppo, \u00e8 stato sequestrato a ottobre 2025 proprio dopo le estorsioni pubbliche contro i clienti Salesforce.<\/p>\n\n\n\n

La risposta di FBI, Google e Salesforce<\/h2>\n\n\n\n

La reazione delle istituzioni e dei vendor \u00e8 stata coordinata su un messaggio chiaro: non \u00e8 colpa del software. L’FBI, con l’avviso FLASH del 12 settembre 2025<\/a>, ha allertato le organizzazioni sull’attivit\u00e0 di UNC6040 e UNC6395, fornendo indicatori di compromissione e raccomandazioni difensive. Google Threat Intelligence Group e Mandiant hanno pubblicato analisi tecniche dettagliate, attribuendo la responsabilit\u00e0 al social engineering e all’abuso di OAuth piuttosto che a un difetto della piattaforma.<\/p>\n\n\n\n

Da parte sua, Salesforce ha ribadito nelle proprie comunicazioni di sicurezza<\/a> che la piattaforma non \u00e8 stata violata e ha invitato i clienti a rafforzare i controlli sulle connected app, limitare i permessi delle API e formare il personale contro il vishing. Pi\u00f9 vendor di sicurezza hanno convenuto che la responsabilit\u00e0 ricade sul modello di responsabilit\u00e0 condivisa del cloud: il fornitore protegge l’infrastruttura, ma il cliente deve proteggere accessi e configurazioni.<\/p>\n\n\n\n

Questa dinamica ricalca quanto visto in altri incidenti recenti. Anche nell’attacco Ivanti del 2026<\/a> e nell’offensiva contro la Commissione Europea<\/a>, la combinazione di accesso iniziale “legittimo” e movimento successivo ha reso l’individuazione molto pi\u00f9 difficile rispetto a un exploit tradizionale.<\/p>\n\n\n\n

Impatto sul mercato: SaaS, assicurazioni cyber e fiducia<\/h2>\n\n\n\n

Le ricadute economiche di questo attacco Salesforce<\/strong> vanno oltre le singole vittime. Il primo effetto riguarda il mercato del SaaS e delle connected app: la fiducia nelle integrazioni OAuth, pilastro dell’ecosistema cloud, \u00e8 stata incrinata. Aziende e CISO stanno riesaminando ogni applicazione di terze parti collegata ai propri ambienti, e cresce la domanda di strumenti di SaaS Security Posture Management (SSPM) come quelli offerti dai vendor che hanno indagato la campagna.<\/p>\n\n\n\n

Il secondo effetto colpisce il settore assicurativo cyber. Con vittime come Allianz Life e Farmers Insurance, e con il rischio di sanzioni GDPR in Europa, gli assicuratori stanno rivedendo i premi e i criteri di sottoscrizione per le polizze che coprono il furto di dati cloud. La presenza di IBAN e documenti d’identit\u00e0 tra i dati rubati aumenta la stima del danno per record, perch\u00e9 abilita frodi finanziarie dirette e non solo campagne di phishing.<\/p>\n\n\n\n

Il terzo effetto \u00e8 reputazionale. Per i marchi del lusso, il cui valore si fonda sull’esclusivit\u00e0 e sulla discrezione, l’esposizione dei dati dei clienti altospendenti \u00e8 un colpo all’immagine difficile da quantificare ma reale. La pressione del sito di leak trasforma ogni violazione in un evento pubblico, amplificando il danno percepito ben oltre il costo tecnico della bonifica.<\/p>\n\n\n\n

Implicazioni GDPR per le aziende europee<\/h2>\n\n\n\n

Per le organizzazioni europee colpite, il GDPR impone obblighi stringenti. L’articolo 33 richiede di notificare la violazione all’autorit\u00e0 di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore<\/strong> dalla scoperta. Se la violazione comporta un rischio elevato per i diritti delle persone, l’articolo 34 obbliga a informare anche gli interessati. Con dati come IBAN, date di nascita e numeri di documento esposti per milioni di persone, la soglia del rischio elevato \u00e8 ampiamente superata.<\/p>\n\n\n\n

Le sanzioni potenziali sono pesanti: il GDPR prevede multe fino al 4% del fatturato annuo globale<\/strong> o 20 milioni di euro, a seconda di quale importo sia maggiore. Le autorit\u00e0 europee per la protezione dei dati, coordinate attraverso l’European Data Protection Board<\/a>, valuteranno l’adeguatezza delle misure di sicurezza adottate dalle vittime. Un’azienda che non aveva limitato i permessi delle connected app o formato il personale contro il vishing potrebbe vedersi contestare una violazione del principio di sicurezza dell’articolo 32.<\/p>\n\n\n\n

Il quadro normativo si intreccia con la nuova direttiva NIS2, recepita in Italia<\/a>, che impone obblighi di sicurezza e segnalazione ancora pi\u00f9 severi per i soggetti essenziali e importanti, comprese telecomunicazioni e trasporti. Per molte vittime europee, la stessa violazione potrebbe innescare procedimenti paralleli sotto GDPR e NIS2.<\/p>\n\n\n\n

Contesto storico: da LAPSUS$ a Scattered Lapsus$ Hunters<\/h2>\n\n\n\n

Per capire la portata di questa campagna serve uno sguardo retrospettivo. Il social engineering telefonico come arma di punta non \u00e8 nuovo, ma la sua industrializzazione lo \u00e8. Nel 2022 LAPSUS$ dimostr\u00f2 che ragazzi armati di telefono e persuasione potevano violare Nvidia, Microsoft, Samsung e Okta. Nel 2023 Scattered Spider port\u00f2 la tecnica al livello successivo, paralizzando MGM Resorts e Caesars con attacchi che combinavano vishing e ransomware.<\/p>\n\n\n\n

La fusione del 2025 ha unito tre competenze complementari: la capacit\u00e0 di ShinyHunters di gestire e monetizzare enormi database, l’abilit\u00e0 di Scattered Spider nel social engineering in lingua inglese e il marchio mediatico di LAPSUS$. Il risultato \u00e8 una macchina criminale che non ha bisogno di costosi exploit zero-day. Abbiamo descritto le dinamiche degli attori statali avanzati nel nostro report ENISA<\/a>, ma qui la minaccia arriva da un collettivo finanziariamente motivato che usa strumenti banali.<\/p>\n\n\n\n

Questo spostamento \u00e8 cruciale: mentre l’industria investiva miliardi in difese perimetrali e patch management, gli attaccanti hanno semplicemente bypassato tutto chiedendo le chiavi al telefono. Il furto di dati come servizio \u00e8 diventato un modello di business maturo, replicabile e scalabile.<\/p>\n\n\n\n

Confronto con le campagne Snowflake e MOVEit<\/h2>\n\n\n\n

La campagna Salesforce si inserisce in una tendenza pi\u00f9 ampia di attacchi al cloud e alla supply chain dei dati. Il confronto con due precedenti illuminanti aiuta a misurarne la novit\u00e0.<\/p>\n\n\n\n

La campagna contro Snowflake<\/strong> del 2024 sfrutt\u00f2 credenziali rubate e l’assenza di MFA per saccheggiare i data warehouse di decine di clienti, tra cui colossi delle telecomunicazioni e del retail. Anche l\u00ec non ci fu un bug della piattaforma, ma un fallimento nella configurazione degli accessi. La campagna MOVEit<\/strong> del 2023, opera del gruppo Clop, sfrutt\u00f2 invece una vera vulnerabilit\u00e0 zero-day nel software di trasferimento file, colpendo oltre 2.700 organizzazioni.<\/p>\n\n\n\n

L’attacco Salesforce combina il peggio di entrambi: la scala industriale di MOVEit e il vettore basato su identit\u00e0 e configurazione di Snowflake, ma con un ingrediente in pi\u00f9, il vishing su misura<\/strong> che annulla persino la MFA. Rispetto al ransomware tradizionale documentato dal Clusit<\/a>, qui non c’\u00e8 cifratura n\u00e9 blocco dei sistemi: il danno \u00e8 puramente legato all’esfiltrazione e all’estorsione, un modello pi\u00f9 difficile da contrastare perch\u00e9 non lascia tracce visibili nei sistemi operativi.<\/p>\n\n\n\n

Cosa dicono gli esperti<\/h2>\n\n\n\n

Gli analisti che seguono il dossier convergono su un punto: il problema \u00e8 umano e di configurazione, non tecnologico. “Questi attacchi non sfruttano una vulnerabilit\u00e0 di Salesforce, ma la fiducia dei dipendenti e i permessi eccessivi delle applicazioni collegate”, \u00e8 la sintesi del team di ricerca di Google Threat Intelligence Group, che ha attribuito l’attivit\u00e0 a UNC6040 e ne ha mappato la metodologia di vishing e abuso di OAuth.<\/p>\n\n\n\n

Charles Carmakal, CTO di Mandiant, ha pi\u00f9 volte descritto gruppi come Scattered Spider e ShinyHunters come “alcuni degli attori pi\u00f9 aggressivi e capaci nel social engineering” che la sua azienda monitori, proprio perch\u00e9 aggirano i controlli tecnici colpendo le persone. Sulla stessa linea, gli analisti di Google Threat Intelligence Group hanno sottolineato come la persistenza ottenuta tramite i token OAuth renda l’individuazione particolarmente complessa, perch\u00e9 il traffico appare legittimo.<\/p>\n\n\n\n

Sul fronte difensivo, i ricercatori di Varonis insistono sulla riduzione dei permessi: “La maggior parte delle organizzazioni concede alle connected app molti pi\u00f9 accessi del necessario”, una superficie d’attacco che il principio del minimo privilegio ridurrebbe drasticamente. Obsidian Security, dal canto suo, descrive la fusione tra ShinyHunters e Scattered Spider come “una convergenza di caos” che moltiplica la capacit\u00e0 offensiva dei singoli gruppi. ReSecurity inquadra infine la Trinity of Chaos come una minaccia estorsiva internazionale destinata a durare.<\/p>\n\n\n\n

Cosa devono fare aziende e utenti<\/h2>\n\n\n\n

Per le aziende che usano Salesforce o piattaforme SaaS analoghe, la difesa passa da misure concrete e immediate.<\/p>\n\n\n\n