Únik dat u TransUnion: Útočníci získali osobní údaje více než 4,4 milionu Američanů

Společnost TransUnion, jeden z hlavních poskytovatelů úvěrových informací ve Spojených státech, oznámila závažný bezpečnostní incident, při kterém byly kompromitovány osobní údaje více než 4,4 milionu osob. K úniku došlo skrze napadení Salesforce instance, kterou společnost využívá pro zákaznickou podporu.

Incident se odehrál 28. července 2025 a byl odhalen o dva dny později. Podle dokumentace zaslané úřadu generálního prokurátora státu Maine útok souvisel s externí aplikací integrovanou do Salesforce, která sloužila pro zpracování zákaznických požadavků.

Společnost ve svém oznámení uvedla, že šlo o „omezené osobní údaje“, přičemž zároveň zdůraznila, že nedošlo ke kompromitaci úvěrových zpráv nebo jádrových úvěrových dat. Nicméně nezávislé zdroje, včetně serveru BleepingComputer, získaly vzorek dat, který obsahuje celá jména, e-mailové a poštovní adresy, telefonní čísla, nezačerněná čísla sociálního pojištění (SSN), data narození, důvod kontaktování zákaznické podpory (např. žádost o výpis z úvěrového registru).

Celkově útočníci tvrdí, že se zmocnili více než 13 milionů záznamů, přičemž 4,4 milionu se týká občanů USA.

Kdo za útokem stojí?

Incident je součástí širší vlny útoků na Salesforce infrastrukturu, která v roce 2025 zasáhla řadu významných společností – včetně Googlu, Cisca, Workdaye, Allianz Life, Pandory nebo Chanelu. Útoky jsou připisovány skupinám ShinyHunters a nověji také hrozbovému clusteru UNC6395.

Vše nasvědčuje tomu, že útočníci se specializují na získávání přístupu ke cloudovým aplikacím přes OAuth tokeny a API integrace a poté extrahují data uložená v zákaznických systémech.

Reakce TransUnion

TransUnion začala rozesílat oznámení postiženým uživatelům a nabízí bezplatné služby sledování kreditu a ochrany identity na dobu 24 měsíců. Společnost zatím nespecifikovala, jak byla Salesforce instance kompromitována, a neodpověděla na další dotazy médií.

Nejde přitom o první incident v historii firmy – v minulých letech došlo k útokům na pobočky v Jižní Africe a Kanadě, přičemž v roce 2023 TransUnion čelila obviněním z úniku dat, která ale tehdy přisoudila třetí straně.

Co z toho plyne?

Tento incident opět potvrzuje zranitelnost, kterou představují cloudové integrační platformy, zejména pokud nejsou dostatečně chráněny.

Slabým bodem jsou často API přístupy a přihlašovací tokeny, které mohou být zneužity k masivnímu získání dat, zákaznická podpora bývá podceňovaným cílem, přestože obsahuje osobní i citlivé informace, útoky tohoto typu probíhají často bez viditelných známek průniku do infrastruktury, protože využívají legitimní přístupové kanály.

Doporučení pro organizace

– Provádějte pravidelný audit přístupových práv a tokenů k SaaS platformám;

– implementujte monitoring aktivit API a cloudových integrací;

– segmentujte data a snižujte expozici citlivých údajů v zákaznických systémech;

– v případě podezření na únik dat jednejte rychle: oznámení zákazníkům, revokace přístupů, forenzní analýza.

Zdroj: securityweek.com

Zdroj ilustračního obrázku: vygenerováno pomocí AI