Google стверджує, що хакери викрали дані 200 компаній після витоку даних Gainsight

Google підтвердив, що хакери викрали дані понад 200 компаній, що зберігаються в Salesforce, в результаті масштабної атаки на ланцюги постачання.

Salesforce розкрила інформацію про витік «даних Salesforce певних клієнтів» — без назви постраждалих компаній — які були викрадені через додатки, опубліковані Gainsight, яка надає платформу підтримки клієнтів іншим компаніям.

У своїй заяві Остін Ларсен, головний аналітик із загроз Google Threat Intelligence Group, повідомив, що компанії «відомо про понад 200 потенційно постраждалих випадків Salesforce».

Після того як Salesforce оголосила про порушення, сумнозвісна та дещо туманна хакерська група під назвою Scattered Lapsus$ Hunters, до якої входить банда ShinyHunters, взяла на себе відповідальність за злом у каналі Telegram, з чим ознайомився TechCrunch. 

Хакерська група взяла на себе відповідальність за злом сервісів Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters та Verizon.

Google не коментує конкретних жертв.

Речник CrowdStrike Кевін Беначчі заявив TechCrunch, що компанія «не постраждала від проблеми Gainsight, і всі дані клієнтів залишаються в безпеці». CrowdStrike підтвердила TechCrunch, що була звільнена з «підозрілого інсайдера» за нібито передачу інформації хакерам.

TechCrunch звернувся до всіх компаній, згаданих Scattered Lapsus$ Hunters.

Речник Verizon Кевін Ізраїль заявив, що «Verizon знає про необґрунтоване твердження зловмисника», але не надав доказів цього твердження.

Речник Malwarebytes Ешлі Стюарт повідомила TechCrunch, що команда безпеки компанії «знає» про проблеми Gainsight та Salesforce та «активно розслідує це питання».

Речник Thomson Reuters заявив, що компанія «активно розслідує».

Майкл Адамс, головний директор з інформаційної безпеки Docusign, заявив TechCrunch, що «після комплексного аналізу журналів та внутрішнього розслідування ми не маємо жодних ознак компрометації даних Docusign наразі». Однак Адамс сказав, що «з міркувань безпеки ми вжили низку заходів, включаючи припинення всіх інтеграцій Gainsight та обмеження пов’язаних потоків даних».

На момент публікації жодна з інших компаній не відповіла на запити про коментарі.

Хакери з групи ShinyHunters повідомили TechCrunch в онлайн-чаті, що вони отримали доступ до Gainsight завдяки своїй попередній хакерській кампанії , спрямованій на клієнтів Salesloft, компанії, яка надає маркетингову платформу на базі штучного інтелекту та чат-ботів під назвою Drift. У тому попередньому випадку хакери вкрали токени автентифікації Drift у цих клієнтів, що дозволило їм зламати пов'язані екземпляри Salesforce та завантажити їхній вміст.

На той час Gainsight підтвердила , що була серед жертв цієї хакерської кампанії. 

«Gainsight був клієнтом Salesloft Drift, вони постраждали, і тому були повністю скомпрометовані нами», – сказав TechCrunch речник групи ShinyHunters.

Речниця Salesforce Ніколь Аранда повідомила TechCrunch, що «згідно з політикою, Salesforce не коментує конкретні проблеми клієнтів».

Gainsight не відповіла на запити TechCrunch про коментарі.

У четвер Salesforce заявила , що «немає жодних ознак того, що ця проблема виникла через будь-яку вразливість у платформі Salesforce», фактично дистанціюючись від витоків даних своїх клієнтів.

Gainsight публікувала оновлення щодо інциденту на своїй сторінці, присвяченій інцидентам . У п'ятницю компанія заявила, що зараз співпрацює з підрозділом реагування на інциденти Google Mandiant, щоб допомогти розслідувати порушення, що інцидент, про який йде мова, «виник через зовнішнє підключення додатків, а не через будь-яку проблему чи вразливість на платформі Salesforce», і що «експертний аналіз триває в рамках комплексного та незалежного розгляду».

«Salesforce тимчасово відкликала активні токени доступу для програм, підключених до Gainsight, як запобіжний захід, поки триває розслідування незвичайної активності», – йдеться на сторінці інциденту Gainsight, де зазначається, що Salesforce повідомляє постраждалих клієнтів, чиї дані були викрадені. 

У своєму Telegram-каналі Scattered Lapsus$ Hunters заявили, що планують до наступного тижня запустити спеціальний веб-сайт для вимагання грошей у жертв своєї останньої кампанії. Це метод роботи угруповання; у жовтні хакери також опублікували аналогічний веб-сайт для вимагання грошей після крадіжки даних жертв Salesforce під час інциденту Salesloft. 

«Scattered Lapsus$ Hunters» – це колектив англомовних хакерів, що складається з кількох кіберзлочинних угруповань, зокрема ShinyHunters , Scattered Spider та Lapsus$ , члени яких використовують тактику соціальної інженерії , щоб обманом змусити співробітників компаній надати хакерам доступ до своїх систем або баз даних. За останні кілька років ці групи стали жертвами кількох відомих компаній , таких як MGM Resorts , Coinbase , DoorDash та інші.