Hakerzy ukradli dane 200 firm po włamaniu do Gainsight: Google potwierdziło masowy atak

Hakerzy ukradli dane ponad 200 firm, które były przechowywane w Salesforce, poinformowało Google po ujawnieniu informacji o incydencie z platformą Gainsight. Ten wyciek stał się częścią masowego ataku na łańcuch dostaw, który dotknął kilka znanych firm.

Co wiemy

Według analityka z Google Threat Intelligence Austina Larsena, zostało dotkniętych ponad 200 instancji Salesforce. Sama Salesforce potwierdziła włamanie "danych niektórych klientów", ale nie wymieniła konkretnych firm. Wiadomo, że wyciek był spowodowany przez zewnętrzne aplikacje Gainsight do obsługi klienta. Wcześniej Gainsight korzystało z narzędzi Salesloft Drift, przez które przestępcy uzyskali dostęp do tokenów uwierzytelniania.

Odpowiedzialność za atak wzięła na siebie grupa Scattered Lapsus$ Hunters, związana z grupami hakerskimi ShinyHunters, Lapsus$ i Scattered Spider. W ich kanale Telegram stwierdzono, że atak dotknął szereg dużych firm: Atlassian, Docusign, GitLab, CrowdStrike, Malwarebytes, SonicWall, Thomson Reuters, Verizon i inne.

CrowdStrike zapewniła, że jej dane nie zostały naruszone, chociaż zwolniła podejrzanego o zdradę insajdera. Docusign poinformował, że nie wykryto kompromitacji, ale ze względów bezpieczeństwa wyłączył wszystkie integracje Gainsight. Thomson Reuters, Malwarebytes i Verizon potwierdziły, że badają sytuację.

Gainsight z kolei oświadczyła, że incydent nie jest związany z podatnością w platformie Salesforce, a źródłem była zewnętrzna integracja. Obecnie współpracuje z Google Mandiant w celu przeprowadzenia niezależnej analizy, a Salesforce tymczasowo wycofała aktywne tokeny aplikacji Gainsight.

Scattered Lapsus$ Hunters zapowiedziało uruchomienie strony do następnego tygodnia w celu szantażu swoich ofiar.

Źródło: TechCrunch