Firma Cushman & Wakefield, jeden z największych graczy na globalnym rynku nieruchomości komercyjnych, oficjalnie przyznała się do incydentu bezpieczeństwa. Cyberprzestępcy z grupy ShinyHunters poinformowali, że weszli w posiadanie ponad pół miliona rekordów zawierających zarówno dane osobowe, jak i poufne informacje korporacyjne — jak podał w poniedziałek serwis The Register.
Dwie grupy, jeden cel
Według sprawców włamanie miało miejsce 1 maja. Tym samym Cushman & Wakefield dołączyła do coraz dłuższej listy korporacyjnych ofiar trwającej kampanii ShinyHunters, wymierzonej w środowiska oparte na platformie Salesforce. Niezależnie od tego, 4 maja inna grupa ransomware — Qilin — zamieściła nazwę firmy na swojej stronie publikującej skradzione dane, nie ujawniając jednak szczegółów dotyczących metody ataku.
ShinyHunters wyznaczył Cushman & Wakefield ostateczny termin na kontakt — 6 maja, po którym zebrane dane miały zostać upublicznione. W poniedziałek grupa przekazała The Register, że firma milczy i nie nawiązała żadnej komunikacji.
Rzecznik prasowy spółki potwierdził incydent, określając jego zakres jako ograniczony. Wyjaśnił przy tym, że do naruszenia doszło na skutek vishingu — czyli phishingu prowadzonego drogą głosową — w ramach którego pracownik został zmanipulowany i nieświadomie otworzył atakującym drzwi do systemów firmy. „Wdrożyliśmy procedury reagowania na incydenty, podjęliśmy działania blokujące nieautoryzowaną aktywność i angażujemy zewnętrznych ekspertów wspierających naszą odpowiedź” — przekazał rzecznik.
Znany schemat działania
Incydent nie jest odosobnionym przypadkiem. Badacze bezpieczeństwa śledzą analogiczny wzorzec ataków od połowy 2025 roku. Grupa ShinyHunters, śledzona przez Google Threat Intelligence Group pod oznaczeniem UNC6040, wypracowała powtarzalną metodę działania: łączy vishing z przejęciem tokenów OAuth używanych przez zewnętrzne integracje Salesforce.
W marcu 2025 roku sprawcy przyznali się do kradzieży danych z około stu znanych organizacji — wśród ofiar znalazły się Snowflake, Okta, Sony i AMD. Na początku 2026 roku podobne techniki zastosowano w ataku na ADT, gdzie — według doniesień — skradziono 10 milionów rekordów z Salesforce po uprzednim przejęciu danych logowania do Okta za pomocą vishingu. Firma Obsidian Security w opublikowanym w kwietniu raporcie opisała schemat tej kampanii: przejęcie konta Okta przez phishing głosowy, rejestracja trwałego uwierzytelniania wieloskładnikowego, a następnie poruszanie się między aplikacjami połączonymi przez SSO i eksfiltracja danych z chmury.
Tokeny OAuth jako punkt wejścia
Wspólnym mianownikiem kolejnych naruszeń jest nadmierne zaufanie pokładane w tokenach OAuth spinających różne platformy korporacyjne. Austin Larsen, główny analityk z Google Threat Intelligence Group, już wcześniej zwracał uwagę, że przestępcy coraz chętniej sięgają po tokeny zaufanych integracji SaaS jako wektor ataku. Badacze wskazują dodatkowo, że wiele firm wciąż nie unieważniło tokenów skompromitowanych podczas kampanii ShinyHunters z połowy 2025 roku, wymierzonej w dostawcę integracji Salesforce — Salesloft Drift. To błąd, który miesiącami po samym włamaniu pozostawia systemy otwarte na dalsze działania.
W obliczu upływającego 6 maja terminu Cushman & Wakefield może wkrótce stanąć wobec publicznego ujawnienia skradzionych danych — i to w sytuacji, gdy do tego samego ataku przyznają się jednocześnie dwie niezależne grupy cyberprzestępców.
