Логотип Salesforce. Источник: Google
Хакеры украли данные более 200 компаний, хранящиеся в Salesforce, сообщила Google после опубликования информации об инциденте с платформой Gainsight. Эта утечка стала частью масштабной атаки на цепочку поставок, что затронула несколько известных компаний.
Что известно
По словам аналитика из Google Threat Intelligence Остина Ларсена, пострадало более 200 инстанций Salesforce. Сама Salesforce подтвердила взлом "отдельных клиентских данных", но не назвала конкретные компании. Известно, что утечка произошла из-за сторонних приложений Gainsight для клиентского сервиса. Ранее Gainsight пользовалась инструментами Salesloft Drift, именно через них злоумышленники и получили доступ к токенам аутентификации.
Ответственность за атаку взяла на себя группировка Scattered Lapsus$ Hunters, связанная с хакерскими группами ShinyHunters, Lapsus$ и Scattered Spider. В их Telegram-канале отмечается, что атака затронула ряд крупных компаний: Atlassian, Docusign, GitLab, CrowdStrike, Malwarebytes, SonicWall, Thomson Reuters, Verizon и другие.
CrowdStrike заверила, что ее данные не затронуты, хотя она уволила подозреваемого инсайдера. В Docusign сообщили, что не выявили компрометации, но по соображениям безопасности отключили все интеграции Gainsight. Thomson Reuters, Malwarebytes и Verizon подтвердили, что расследуют ситуацию.
Gainsight в свою очередь заявила, что инцидент не связан с уязвимостью в платформе Salesforce, а источником стала внешняя интеграция. В настоящее время она сотрудничает с Google Mandiant для проведения независимого анализа, а Salesforce временно отозвала активные токены Gainsight-приложений.
Scattered Lapsus$ Hunters анонсировала запуск сайта к следующей неделе с целью шантажа своих жертв.
Источник: TechCrunch