Хакеры украли данные более 200 компаний из Salesforce
Google подтвердил, что хакеры украли данные более 200 компаний, которые хранились в Salesforce, в результате масштабной атаки на цепочку поставок.
В четверг Salesforce сообщила о взломе данных некоторых клиентов, которые были украдены через приложения, опубликованные компанией Gainsight, предоставляющей платформу поддержки клиентов.
Остин Ларсен, главный аналитик угроз Google Threat Intelligence Group, заявил, что компания «знает о более чем 200 потенциально затронутых экземплярах Salesforce».
После того как Salesforce объявила о взломе, известная хакерская группа Scattered Lapsus$ Hunters, в которую входит группировка ShinyHunters, взяла на себя ответственность за атаки в канале Telegram, что подтвердил TechCrunch.
- Atlassian;
- CrowdStrike;
- Docusign;
- F5;
- GitLab;
- LinkedIn;
- Malwarebytes;
- SonicWall;
- Thomson Reuters;
- Verizon.
Google не стал комментировать конкретные случаи пострадавших компаний.
Представитель CrowdStrike Кевин Беначчи заявил TechCrunch, что компания «не затронута проблемой с Gainsight, и все данные клиентов остаются в безопасности». CrowdStrike подтвердила TechCrunch, что уволила «подозрительного инсайдера», который, как предполагается, передавал информацию хакерам.
TechCrunch связался со всеми компаниями, упомянутыми Scattered Lapsus$ Hunters.
Представитель Verizon Кевин Израэль заявил, что «Verizon знает о необоснованных заявлениях злоумышленника», не предоставив доказательств этих утверждений.
Представитель Malwarebytes Эшли Стюарт сообщил TechCrunch, что команда безопасности компании «знает о проблемах с Gainsight и Salesforce» и «активно расследует этот вопрос».
Представитель Thomson Reuters сообщил, что компания «активно расследует ситуацию».
Майкл Адамс, директор по информационной безопасности Docusign, заявил TechCrunch, что после всестороннего анализа журналов и внутреннего расследования «на данный момент нет никаких признаков компрометации данных Docusign». Однако Адамс добавил, что «избыточной меры предосторожности ради были приняты ряд мер, включая прекращение всех интеграций с Gainsight и ограничение связанных потоков данных».
На момент публикации ни одна из других компаний не ответила на запросы о комментариях.
Хакеры из группы ShinyHunters сообщили TechCrunch в онлайн-чате, что получили доступ к Gainsight благодаря предыдущей хакерской кампании, нацеленной на клиентов Salesloft, которая предоставляет маркетинговую платформу с использованием ИИ и чат-ботов под названием Drift. В том случае хакеры украли токены аутентификации Drift у клиентов, что позволило им проникнуть в связанные экземпляры Salesforce и загрузить их содержимое.
Тогда Gainsight подтвердила, что стала жертвой той хакерской кампании.
Представитель группы ShinyHunters заявил TechCrunch: «Gainsight была клиентом Salesloft Drift, они были затронуты и, следовательно, полностью скомпрометированы нами».
Представитель Salesforce Николь Аранда заявила TechCrunch: «Согласно политике, Salesforce не комментирует конкретные проблемы клиентов».
Gainsight не ответила на запросы TechCrunch о комментариях.
В четверг Salesforce заявила, что «нет никаких признаков того, что эта проблема возникла из-за какой-либо уязвимости в платформе Salesforce», фактически дистанцировавшись от утечек данных своих клиентов.
Gainsight публикует обновления об инциденте на своей странице. В пятницу компания сообщила, что сейчас работает с подразделением Google по реагированию на инциденты Mandiant, чтобы помочь в расследовании взлома. Инцидент возник из-за внешнего подключения приложений, а не из-за какой-либо проблемы или уязвимости в платформе Salesforce. Продолжается судебно-медицинская экспертиза в рамках всестороннего и независимого обзора.
Согласно странице инцидентов Gainsight, Salesforce временно отозвала активные токены доступа для приложений, связанных с Gainsight, в качестве меры предосторожности, пока продолжается расследование необычной активности. Salesforce уведомляет затронутых клиентов, чьи данные были украдены.
В своём канале Telegram Scattered Lapsus$ Hunters заявила, что планирует запустить специальный веб-сайт для вымогательства у жертв своей последней кампании на следующей неделе. Это обычный метод работы группы; в октябре хакеры также опубликовали аналогичный сайт для вымогательства после кражи данных Salesforce у жертв в инциденте с Salesloft.
Scattered Lapsus$ Hunters — это коллектив англоязычных хакеров, состоящий из нескольких киберпреступных группировок, включая ShinyHunters, Scattered Spider и Lapsus$, члены которых используют тактику социальной инженерии, чтобы обманом заставить сотрудников компаний предоставить хакерам доступ к их системам или базам данных. За последние несколько лет эти группы заявили о нескольких громких жертвах, таких как MGM Resorts, Coinbase, DoorDash и другие.