Utbildningsjätten McGraw-Hill bekräftar att hackergruppen ShinyHunters har fått tillgång till intern data genom en felkonfiguration i Salesforce. Gruppen hävdar att 45 miljoner poster med personuppgifter har stulits, medan McGraw-Hill tonar ner omfattningen och säger att ingen känslig information har exponerats.

Händelsen är en tydlig påminnelse om att felkonfigurationer i molntjänster som Salesforce är en av de vanligaste attackvektorerna idag. För svenska företag som förlitar sig på Salesforce finns det konkreta lärdomar att dra.

Vad har hänt?

ShinyHunters, en välkänd cyberkriminell grupp, lade upp McGraw-Hill på sin utpressningsportal och hotade att läcka stulen data om ingen lösensumma betalades före den 14 april 2026. Gruppen påstår sig ha kommit åt 45 miljoner Salesforce-poster som innehåller personligt identifierbar information (PII).

McGraw-Hill, ett globalt utbildningsföretag med en årlig omsättning på 2,2 miljarder dollar, bekräftade intrånget i ett uttalande till BleepingComputer. Företaget säger att angriparna utnyttjade en felkonfiguration i Salesforce-miljön och att problemet inte var begränsat till McGraw-Hill utan har påverkat flera organisationer som arbetar med Salesforce.

Enligt McGraw-Hill innehåller den stulna datan ingen känslig information som personnummer, finansiella uppgifter eller studentdata. Företaget säkrade de drabbade webbsidorna direkt efter att den obehöriga åtkomsten upptäcktes och samarbetar nu med Salesforce för att stärka skyddet.

Salesforce har i sin tur meddelat att det inte finns några tecken på att själva plattformen har komprometterats och att aktiviteten inte är kopplad till någon känd sårbarhet i deras teknik.

ShinyHunters: en grupp med stor räckvidd

ShinyHunters har genomfört en rad uppmärksammade intrång under 2026. Bland offren finns Rockstar Games, Hims & Hers, EU-kommissionen, Telus Digital, Wynn Resorts, Canada Goose, Match Group, Panera Bread, CarGurus och Infinite Campus. Gruppen har tidigare kopplats till Scattered Spider och flera medlemmar har gripits av brottsbekämpande myndigheter i USA och Storbritannien, men aktiviteten har återupptagits under 2026.

Mönstret är tydligt: ShinyHunters riktar in sig på molntjänster och tredjepartslösningar snarare än att attackera företagens egna system direkt. Salesforce-kunder har upprepade gånger blivit mål under gruppens kampanjer det senaste året.

Vad betyder detta för ditt företag?

Felkonfigurationer i Salesforce och andra molnplattformar är inte ovanliga. Problemet uppstår ofta när standardinställningar lämnas oförändrade, behörigheter är för breda eller API-åtkomst inte övervakas tillräckligt. Det krävs ingen avancerad sårbarhet för att en angripare ska kunna utnyttja en öppen dörr.

För svenska SMB-företag som använder Salesforce finns det konkreta åtgärder att vidta redan idag:

Granska konfigurationer regelbundet. Kontrollera att gästanvändare, community-sidor och offentliga API-slutpunkter inte exponerar mer data än nödvändigt. Salesforce erbjuder verktyg som Health Check för att identifiera avvikelser från rekommenderade säkerhetsinställningar.

Begränsa åtkomst efter principen om minsta behörighet. Se till att varje användare och integration bara har tillgång till den data som faktiskt behövs. Granska profiler, behörighetsuppsättningar och delningsregler.

Övervaka API-anrop och inloggningar. Aktivera loggning av API-trafik och sätt upp larm för ovanliga mönster, till exempel stora datahämtningar eller åtkomst från okända IP-adresser.

Håll koll på tredjepartsintegrationer. Varje kopplad app eller integration är en potentiell attackyta. Inventera och granska alla anslutna tjänster regelbundet.

McGraw-Hill-incidenten visar att även stora organisationer med betydande resurser kan drabbas av felkonfigurationer. Storleken på företaget spelar ingen roll. Det som avgör är hur väl molnmiljön är konfigurerad och övervakad.