Хакеры взломали Salesforce: 200+ компаний под ударом

Google подтвердил масштабную цепочку поставок, в результате которой были украдены данные более 200 компаний, хранившиеся в Salesforce. Инцидент затронул клиентов, использующих приложения от Gainsight — платформы для поддержки клиентов.

В заявлении Остина Ларсена, ведущего аналитика Google Threat Intelligence Group, говорится, что компания осведомлена о более чем 200 потенциально пострадавших экземплярах Salesforce. Ответственность за атаку взяла на себя хакерская группа Scattered Lapsus$ Hunters, в которую входит объединение ShinyHunters. Группа заявила о взломе таких компаний, как Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters и Verizon.

CrowdStrike опровергла свою причастность к инциденту с Gainsight, заявив, что все данные клиентов остаются в безопасности. Однако компания подтвердила увольнение сотрудника по подозрению в передаче информации хакерам.

Verizon также осведомлена о заявлении, но считает его необоснованным. Malwarebytes и Thomson Reuters заявили, что активно расследуют инцидент.

По данным группы ShinyHunters, доступ к Gainsight был получен в результате предыдущей кампании, нацеленной на клиентов Salesloft. Используя украденные токены аутентификации Drift, хакеры получили доступ к связанным экземплярам Salesforce. Gainsight подтвердила, что была жертвой той кампании.

Salesforce заявила, что нет никаких признаков уязвимости в их собственной платформе, тем самым дистанцировавшись от утечки данных клиентов. Gainsight сотрудничает с Google Mandiant для расследования, указывая, что инцидент возник из-за внешнего подключения, а не уязвимости Salesforce.

В качестве меры предосторожности Salesforce временно отозвала активные токены доступа для приложений, подключенных к Gainsight. Affected customers are being notified.

Scattered Lapsus$ Hunters планирует запустить сайт для вымогательства у жертв, используя ту же тактику, что и в октябре после предыдущей утечки данных Salesforce.

Scattered Lapsus$ Hunters — это коллектив англоговорящих хакеров, использующий методы социальной инженерии для получения доступа к системам компаний. В последние годы группа атаковала таких известных клиентов, как MGM Resorts, Coinbase и DoorDash.