Логотип Salesforce. Джерело: Google
Хакери викрали дані понад 200 компаній, що зберігалися у Salesforce, повідомила Google після оприлюднення інформації про інцидент із платформою Gainsight. Цей витік став частиною масштабної атаки на ланцюжок постачання, що торкнулася кількох відомих компаній.
Що відомо
За словами аналітика з Google Threat Intelligence Остіна Ларсена, постраждало понад 200 інстанцій Salesforce. Сама Salesforce підтвердила злам "окремих клієнтських даних", але не назвав конкретні компанії. Відомо, що витік стався через сторонні застосунки Gainsight для клієнтського сервісу. Раніше Gainsight користувалася інструментами Salesloft Drift, саме через них зловмисники й отримали доступ до токенів автентифікації.
Відповідальність за атаку взяло на себе угруповання Scattered Lapsus$ Hunters, пов’язане з хакерськими групами ShinyHunters, Lapsus$ і Scattered Spider. У їхньому Telegram-каналі зазначається, що атака торкнулася низки великих компаній: Atlassian, Docusign, GitLab, CrowdStrike, Malwarebytes, SonicWall, Thomson Reuters, Verizon та інші.
CrowdStrike запевнила, що її дані не зачеплено, хоча вона звільнила підозрюваного інсайдера. У Docusign повідомили, що не виявили компрометації, але з міркувань безпеки відключили всі інтеграції Gainsight. Thomson Reuters, Malwarebytes і Verizon підтвердили, що розслідують ситуацію.
Gainsight своєю чергою заявила, що інцидент не пов’язаний із вразливістю в платформі Salesforce, а джерелом стала зовнішня інтеграція. Наразі вона співпрацює з Google Mandiant для проведення незалежного аналізу, а Salesforce тимчасово відкликала активні токени Gainsight-застосунків.
Scattered Lapsus$ Hunters анонсувало запуск сайту до наступного тижня з метою шантажу своїх жертв.
Джерело: TechCrunch