Säkerhetsföretaget ADT har bekräftat ett dataintrång efter att hackergruppen ShinyHunters hotat att läcka stulen kunddata. Intrånget upptäcktes den 20 april och ADT uppger att personuppgifter som namn, telefonnummer och adresser stulits.

Vad hände?

Enligt ShinyHunters började attacken med ett röstfiskesamtal (vishing) som lurade en ADT-anställd att lämna ut sina inloggningsuppgifter till företagets Okta SSO-konto. Med den åtkomsten tog sig angriparna vidare till ADT:s Salesforce-instans och stal kunddata.

ShinyHunters hävdar att över 10 miljoner poster med personuppgifter och intern företagsdata har stulits. ADT har inte bekräftat den siffran.

Vilken data läckte?

ADT uppger att den stulna informationen var begränsad till:

• Namn, telefonnummer och adresser
• I ett litet antal fall: födelsedatum och de fyra sista siffrorna i personnummer eller skatte-ID

Ingen betalningsinformation, inga bankkonton eller kreditkort, och inga kunders säkerhetssystem påverkades.

ShinyHunters utpressningsmodell

ShinyHunters har sedan förra året bedrivit omfattande vishing-kampanjer som riktar sig mot anställdas SSO-konton i Microsoft Entra, Okta och Google. Efter att ha fått åtkomst stjäl gruppen data från anslutna SaaS-tjänster som Salesforce, Microsoft 365, Google Workspace, Slack och många andra.

Den stulna datan används sedan för att utpressa företaget: betala eller så läcks allt. ShinyHunters satte deadline till 27 april 2026 för ADT att svara.

Inte första gången

ADT har tidigare drabbats av dataintrång i augusti och oktober 2024 som exponerade kund- och medarbetarinformation. Det här är alltså tredje intrånget på mindre än två år.

Fallet visar hur effektiva vishing-attacker mot SSO-konton har blivit. Organisationer bör se över sina rutiner för röstverifiering och begränsa åtkomsten från enskilda SSO-konton till känsliga SaaS-system.