Компания Google подтвердила, что хакеры похитили хранящиеся в Salesforce данные более 200 компаний в ходе масштабной атаки на цепочку поставок.
В четверг компания Salesforce сообщила об утечке «данных Salesforce некоторых клиентов» (не называя затронутые компании), которая была украдена через приложения, опубликованные Gainsight, предоставляющей платформу поддержки клиентов другим компаниям.
В своем заявлении Остин Ларсен, главный аналитик угроз Google Threat Intelligence Group, сказал, что компания «знает о более чем 200 потенциально затронутых экземплярах Salesforce».
После того, как Salesforce объявила о взломе, печально известная и несколько туманная хакерская группа Scattered Lapsus$ Hunters, в которую входит банда ShinyHunters, взяла на себя ответственность за взломы в канале Telegram, с которыми ознакомился TechCrunch.
Хакерская группа взяла на себя ответственность за взломы, затронувшие Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters и Verizon.
Связаться с нами
Есть ли у вас дополнительная информация об этих утечках данных Salesforce и Gainsight? Или о других утечках данных? С нерабочего устройства вы можете связаться с Лоренцо Франчески-Биккьераи по безопасному номеру Signal +1 917 257 1382, через Telegram и Keybase @lorenzofb или по электронной почте.
Google не стала комментировать имена конкретных жертв.
Представитель CrowdStrike Кевин Беначчи заявил изданию TechCrunch, что компания «не пострадала от проблем с Gainsight, и все данные клиентов остаются в безопасности». CrowdStrike подтвердила изданию TechCrunch, что уволила «подозрительного инсайдера» за предполагаемую передачу информации хакерам.
TechCrunch связался со всеми компаниями, упомянутыми Scattered Lapsus$ Hunters.
Представитель Verizon Кевин Израэль заявил в своем заявлении, что «Verizon осведомлен о необоснованном заявлении злоумышленника», не предоставив при этом никаких доказательств этого заявления.
Представитель Malwarebytes Эшли Стюарт сообщила TechCrunch, что команда безопасности компании «осведомлена» о проблемах Gainsight и Salesforce и «активно расследует этот вопрос».
Представитель Thomson Reuters заявил, что компания «активно проводит расследование».
На момент публикации ни одна из других компаний не ответила на просьбы прокомментировать ситуацию.
Хакеры из группы ShinyHunters сообщили TechCrunch в онлайн-чате, что получили доступ к Gainsight благодаря своей предыдущей хакерской кампании, нацеленной на клиентов Salesloft, компании, предоставляющей маркетинговую платформу Drift на базе искусственного интеллекта и чат-ботов. В том случае хакеры украли у этих клиентов токены аутентификации Drift, что позволило им взломать связанные с ними экземпляры Salesforce и скачать их контент.
В то время компания Gainsight подтвердила, что оказалась в числе жертв хакерской кампании.
«Gainsight была клиентом Salesloft Drift, они пострадали и, следовательно, были скомпрометированы полностью из-за нас», — сообщил TechCrunch представитель группы ShinyHunters.
Представитель Salesforce Николь Аранда сообщила TechCrunch, что «в соответствии с политикой Salesforce не комментирует конкретные проблемы клиентов».
Gainsight не отреагировала на просьбы TechCrunch прокомментировать ситуацию.
В четверг компания Salesforce заявила, что «нет никаких признаков того, что эта проблема возникла из-за какой-либо уязвимости в платформе Salesforce», фактически дистанцировавшись от ответственности за утечки данных своих клиентов.
Компания Gainsight опубликовала информацию об инциденте на своей странице, посвящённой инцидентам. В пятницу компания заявила, что теперь сотрудничает с подразделением реагирования на инциденты Google Mandiant для содействия расследованию инцидента. Упомянутый инцидент «произошёл из-за внешнего подключения приложений, а не из-за какой-либо проблемы или уязвимости в платформе Salesforce», и что «экспертиза продолжается в рамках комплексного и независимого расследования».
«Salesforce временно отозвала активные токены доступа для приложений, подключенных к Gainsight, в качестве меры предосторожности, пока продолжается расследование необычной активности», — говорится на странице инцидента Gainsight, на которой говорится, что Salesforce уведомляет пострадавших клиентов, чьи данные были украдены.
В своём Telegram-канале группа Scattered Lapsus$ Hunters сообщила, что планирует запустить специальный сайт для вымогательства денег у жертв последней кампании к следующей неделе. Именно так действует группа; в октябре хакеры также опубликовали аналогичный сайт для вымогательства после кражи данных Salesforce жертв в ходе инцидента Salesloft.
Scattered Lapsus$ Hunters — это сообщество англоговорящих хакеров, состоящее из нескольких киберпреступных группировок, включая ShinyHunters, Scattered Spider и Lapsus$. Члены этих группировок используют методы социальной инженерии, чтобы обманом заставить сотрудников компаний предоставить хакерам доступ к своим системам или базам данных. За последние несколько лет жертвами этих группировок стали несколько известных компаний, таких как MGM Resorts, Coinbase, DoorDash и другие.
Эта история была обновлена с целью включения комментариев от Thomson Reuters и Verizon.
Источник: techcrunch.com
