Google официально подтвердила, что в результате масштабной атаки на цепочку поставок хакеры украли данные, хранившиеся на платформе Salesforce, более чем у 200 компаний. Инцидент связан с взломом приложений, разработанных компанией Gainsight, которая предоставляет другим компаниям решения для поддержки клиентов.
Об этом сообщает ProIT
Масштаб атаки и реакция компаний
По словам ведущего аналитика Google Threat Intelligence Group Остина Ларсена, компания располагает информацией о более чем 200 возможных пострадавших инстансах Salesforce. После объявления о инциденте группа хакеров Scattered Lapsus$ Hunters, в которую также входят участники ShinyHunters, взяла на себя ответственность за атаку в своих Telegram-каналах.
Злоумышленники заявили, что их жертвами стали такие крупные компании, как Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters и Verizon. Однако CrowdStrike опровергла влияние инцидента на свои данные, подчеркнув, что все данные клиентов остаются защищенными, и сообщила о увольнении подозрительного сотрудника, который мог передавать информацию хакерам.
Verizon отметила, что осведомлена о заявлении злоумышленников, однако доказательства его правдивости не представлены. В Malwarebytes подтвердили, что расследуют ситуацию, а в Thomson Reuters также сообщили о начале внутреннего расследования. В компании Docusign после проведения внутренней проверки не обнаружили признаков компрометации данных, однако для дополнительной безопасности отключили все интеграции с Gainsight и ограничили соответствующие потоки данных.
«Gainsight была клиентом Salesloft Drift, они пострадали и, следовательно, были полностью скомпрометированы нами», — сообщил представитель ShinyHunters.
Как произошел взлом и дальнейшие действия
По словам хакеров из ShinyHunters, доступ к Gainsight был получен через предварительную атаку на клиентов Salesloft, которая управляет платформой Drift с функциями на основе искусственного интеллекта и чат-ботов для маркетинга. Во время той атаки преступники украли токены аутентификации Drift у клиентов, что дало им возможность взломать связанные профили Salesforce и загрузить их содержимое.
Gainsight подтвердила, что стала жертвой этой хакерской кампании. В настоящее время компания публикует обновления о расследовании на своей специальной странице и сотрудничает с подразделением Google Mandiant для выяснения обстоятельств инцидента. Gainsight подчеркивает, что атака произошла из-за внешних подключений приложений, а не из-за уязвимости в платформе Salesforce, что также подтверждает официальная позиция Salesforce. Для защиты клиентов Salesforce временно отозвала активные токены доступа для всех приложений, связанных с Gainsight, и уведомляет пострадавших клиентов.
Группа Scattered Lapsus$ Hunters объявила о планах создать отдельный сайт для шантажа пострадавших компаний. Такая тактика уже применялась ранее, когда после кражи данных из Salesforce в октябре хакеры опубликовали подобный сайт для вымогательства.
Scattered Lapsus$ Hunters — это группировка англоязычных хакеров, в состав которой входят несколько криминальных групп, в том числе ShinyHunters, Scattered Spider и Lapsus$. Они известны использованием социальной инженерии для получения доступа к корпоративным системам, и на их счету уже немало резонансных атак на такие компании, как MGM Resorts, Coinbase, DoorDash и другие.
