2026년 4월 11일, 위협 행위자 ShinyHunters가 자체 리크사이트 및 다크웹 채널을 통해 미국 국영 여객 철도 운영사 Amtrak(amtrak.com)을 최신 피해자로 공개했다. ShinyHunters는 Amtrak의 Salesforce 환경에서 약 940만 건의 레코드를 탈취했다고 주장하며, 고객 개인식별정보(PII)와 내부 기업 데이터가 포함되어 있다고 밝혔다. 공격자는 4월 14일까지 협상에 응하지 않으면 데이터를 공개하고 "디지털 문제(digital problems)"를 야기하겠다고 위협했다.

이번 Amtrak 침해는 ShinyHunters가 2026년 초부터 체계적으로 전개해온 Salesforce Experience Cloud 표적 캠페인의 일환이다. Help Net Security(3월 11일)에 따르면, ShinyHunters는 Salesforce의 Aura 프레임워크를 악용하여 Experience Cloud(구 Community Cloud) 사이트의 잘못 구성된 게스트 사용자 권한을 통해 내부 객체에 무단 접근하는 기법을 사용하고 있다. 이 캠페인으로 Cisco(300만+ 건), Ameriprise Financial(200GB), Betterment(140만 고객), Rockstar Games(Snowflake 환경) 등 400개 이상의 기업이 피해를 입은 것으로 보도되었다. Amtrak이 포함됨에 따라 해당 캠페인이 교통·대중교통 인프라 운영자까지 확장된 것이 확인되었다.

Salesforce 측은 자사 플랫폼 자체의 취약점이 아닌 고객사의 잘못된 접근 권한 설정(misconfigured guest user permissions)이 원인이라는 입장이나, ShinyHunters는 보안 도구를 무기화하여 체계적으로 취약한 구성을 탐색·악용하고 있어 SaaS 플랫폼 운영자와 이용자 모두의 보안 책임이 문제되고 있다.