O Google admitiu que hackers roubaram dados de mais de 200 empresas armazenados no Salesforce em um ataque massivo à cadeia de suprimentos.
Na quinta-feira, Salesforce divulga violação A empresa não revelou os nomes das empresas afetadas, mas “dados do Salesforce para determinados clientes” foram roubados através de um aplicativo publicado pela Gainsight, que fornece uma plataforma de suporte ao cliente para outras empresas.
Austin Larsen, principal analista de ameaças do Google Threat Intelligence Group, disse em comunicado que a empresa “está ciente de mais de 200 instâncias do Salesforce que podem ser afetadas”.
Depois que a Salesforce anunciou a violação, um grupo de hackers notório e um tanto obscuro conhecido como Scattered Lapsus$ Hunters (que também inclui a gangue ShinyHunters) assumiu a responsabilidade pelo hack em seu canal Telegram, que foi testemunhado pelo TechCrunch.
O grupo de hackers assumiu a responsabilidade pelos hacks que afetaram Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters e Verizon.
investigação
Você tem mais informações sobre essas violações de dados do Salesforce e da Gainsight ou outras violações de dados? Você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança a partir de qualquer dispositivo que não seja de trabalho no Signal (+1 917 257 1382) ou via Telegram e Keybase @lorenzofb. e-mail. Você também pode entrar em contato com o TechCrunch. queda segura.
O Google não comentará sobre vítimas específicas.
O porta-voz da CrowdStrike, Kevin Benacci, disse ao TechCrunch em um comunicado que a empresa “não é afetada pelo problema da Gainsight e todos os dados do cliente permanecem seguros”. CrowdStrike anunciou que demitiu um “insider suspeito” que supostamente passou informações a hackers.
O TechCrunch entrou em contato com todas as empresas mencionadas por Scattered Lapsus$ Hunters. Um porta-voz da Verizon acusou o recebimento de nosso e-mail.
A porta-voz da Malwarebytes, Ashley Stewart, disse ao TechCrunch que a equipe de segurança da empresa está “ciente” do problema com Gainsight e Salesforce e está “investigando ativamente o problema”.
Até a publicação, as outras empresas não responderam aos pedidos de comentários.
Hackers do grupo ShinyHunters disseram ao TechCrunch que obtiveram acesso ao Gainsight em um bate-papo online. Sua campanha de hacking anterior O objetivo era clientes da Salesloft, que oferece uma plataforma de marketing baseada em IA e chatbot chamada Drift. Em casos anteriores, os hackers roubaram tokens de autenticação Drift desses clientes, permitindo-lhes comprometer a instância vinculada do Salesforce e baixar seu conteúdo.
Naquela época, a Gainsight era Confirmado Ele também estava entre as vítimas daquela campanha de hackers.
“A Gainsight era cliente da Salesloft Drift e foi afetada e, portanto, totalmente comprometida por nós”, disse ShinyHunters.
“Por uma questão de política, a Salesforce não comenta questões específicas dos clientes”, disse a porta-voz da Salesforce, Nicole Aranda, ao TechCrunch.
A Gainsight não respondeu ao pedido de comentários do TechCrunch.
Quinta-feira, Salesforce disse A empresa está efetivamente se distanciando da violação de dados do cliente, pois “não há indicação de que esse problema se deva a uma vulnerabilidade na plataforma Salesforce”.
Gainsight atualizou informações sobre este incidente na página do incidente. Na sexta-feira, a empresa anunciou que está atualmente trabalhando com a Mandiant, braço de resposta a incidentes do Google, para ajudar a investigar a violação, que o incidente em questão “resultou da conectividade externa do aplicativo, e não de quaisquer problemas ou vulnerabilidades na plataforma Salesforce”, e que “a análise forense está em andamento como parte de uma revisão abrangente e independente”.
“A Salesforce revogou temporariamente os tokens de acesso ativo para aplicativos conectados à Gainsight como precaução enquanto a investigação sobre atividades anômalas continua”, de acordo com a página de incidentes da Gainsight, que dizia que a Salesforce está notificando os clientes afetados cujos dados foram roubados.
Os Scattered Rapsusdor Hunters disseram em seu canal Telegram que planejam lançar um site dedicado na próxima semana para chantagear as vítimas da última campanha. Este é o modus operandi do grupo. Em outubro, Hackers também lançaram um site de extorsão semelhante Depois de roubar dados do Salesforce das vítimas no caso Salesloft.
Scattered Lapsus$ Hunters é um grupo de hackers de língua inglesa composto por várias organizações de crimes cibernéticos, incluindo: Caçadores Brilhantes, aranhas espalhadase outonousado por membros táticas de engenharia social Engane os funcionários de uma empresa para que permitam que hackers acessem seus sistemas e bancos de dados. Nos últimos anos, esses grupos argumentaram que: algumas vítimas famosascomo Resorts MGM, base de moedas, painel da portaetc.
