Morten Lyhne Petersen
Et vishing-opkald gav hackere adgang til ejendomsgigantens Salesforce-system, og koncernen driver også forretning i Danmark.
Det globale ejendomsfirma Cushman & Wakefield har bekræftet et databrud efter et målrettet telefonangreb mod en medarbejder. Selskabet beskriver hændelsen som et begrænset datasikkerhedsbrud forårsaget af vishing og oplyser, at beredskabsprocedurer blev aktiveret, så snart det blev opdaget.
Ifølge hackerne fandt angrebet sted 1. maj 2026 og blev gennemført via vishing, en form for telefonsvindel, hvor angriberen typisk udgiver sig for at være intern it-support og lokker medarbejderen til at udlevere adgangskoder eller godkende en login-anmodning. Den metode gav hackergruppen ShinyHunters et fodfæste i selskabets Salesforce-miljø, hvor kunde- og kontaktdata ligger.
ShinyHunters hævder selv at have stjålet over 500.000 poster på i alt 50 gigabyte, og da betalingsfristen 6. maj løb ud uden løsesum, blev materialet offentliggjort. Den uafhængige tjeneste Have I Been Pwned har efterfølgende registreret 310.431 berørte konti i datasættet, der blev tilføjet 12. maj 2026.
Hovedsageligt firmadata, ingen kodeord
De lækkede oplysninger består primært af forretningskontakter. Det drejer sig om fulde navne, titler, virksomhedsadresser, telefonnumre og e-mailadresser, oplyser sikkerhedstjenesten Cyberpress på baggrund af det offentliggjorte materiale. Der er ikke fundet kodeord, finansielle oplysninger eller offentlige id-numre i datasættet.
Selvom indholdet ved første øjekast fremstår harmløst, advarer sikkerhedsfolk om, at netop denne type kontaktinformation er værdifuld for nye angreb. Navne, jobtitler og direkte numre er præcis det råstof, der bruges til målrettet phishing og nye vishing-opkald mod kolleger, kunder og samarbejdspartnere.
En anden gruppe gør også krav
Sagen blev mere uoverskuelig 4. maj, hvor en anden hackergruppe ved navn Qilin også opførte Cushman & Wakefield på sin lækageside. Det er foreløbig uafklaret, om Qilin sidder på det samme datasæt som ShinyHunters eller har skaffet sig adgang ved et separat angreb.
Vishing-angrebet ligger i forlængelse af en bredere kampagne, hvor ShinyHunters siden efteråret 2025 har angrebet omkring 100 store virksomheder gennem fejlkonfigurerede Salesforce-installationer. Salesforce har understreget, at problemet ikke skyldes en sårbarhed i platformen, men forkert opsatte gæsteadgangsindstillinger hos kunderne.
Dansk afdeling under samme paraply
Cushman & Wakefield har også fodfæste i Danmark gennem den eksklusive samarbejdspartner Cushman & Wakefield | RED med kontor i Amaliegade i København. Selskabet rådgiver primært store professionelle investorer, institutionelle aktører og danske og internationale virksomheder om udlejning, retail og ejendomshandler.
Det fremgår ikke af det offentliggjorte materiale, om danske kunder optræder blandt de berørte poster, og hverken moderkoncernen eller den danske afdeling har offentligt redegjort for det. Virksomheder, der har korresponderet med Cushman & Wakefield om udlejning, vurdering eller investering, kan dog have leveret kontaktoplysninger af den type, der typisk lagres i de CRM-systemer, hackerne har fået adgang til.
For danske erhvervslejere og investorer kan det betyde øget årvågenhed over for opkald og mails, der refererer til reelle erhvervsrelationer. ShinyHunters har tidligere brugt stjålne kontaktlister som springbræt til nye vishing-runder mod andre selskaber.
