Η Google επιβεβαίωσε ότι χάκερ έχουν κλέψει τα δεδομένα περισσότερων από 200 εταιρειών που είναι αποθηκευμένα στο Salesforce σε μια μεγάλης κλίμακας hack αλυσίδας εφοδιασμού.
Την Πέμπτη, η Salesforce αποκάλυψε μια παραβίαση «δεδομένων Salesforce ορισμένων πελατών» – χωρίς να κατονομάσει επηρεαζόμενες εταιρείες – που κλάπηκε μέσω εφαρμογών που δημοσιεύει η Gainsight, η οποία παρέχει μια πλατφόρμα υποστήριξης πελατών σε άλλες εταιρείες.
Σε μια δήλωση, ο Austin Larsen, ο κύριος αναλυτής απειλών της Google Threat Intelligence Group, δήλωσε ότι η εταιρεία «γνωρίζει για περισσότερες από 200 πιθανώς επηρεασμένες περιπτώσεις Salesforce».
Αφού η Salesforce ανακοίνωσε την παραβίαση, η περιβόητη και κάπως νεφελώδης ομάδα hacking γνωστή ως Scattered Lapsus$ Hunters, η οποία περιλαμβάνει τη συμμορία ShinyHunters, ανέλαβε την ευθύνη για τις εισβολές σε ένα κανάλι Telegram, το οποίο έχει δει το TechCrunch.
Η ομάδα hacking ανέλαβε την ευθύνη για τις εισβολές που επηρεάζουν τα Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters και Verizon.
Επικοινωνήστε μαζί μας
Έχετε περισσότερες πληροφορίες σχετικά με αυτές τις παραβιάσεις δεδομένων Salesforce και Gainsight; Ή άλλες παραβιάσεις δεδομένων; Από μια συσκευή που δεν λειτουργεί, μπορείτε να επικοινωνήσετε με τον Lorenzo Franceschi-Bicchierai με ασφάλεια στο Signal στο +1 917 257 1382 ή μέσω Telegram and Keybase @lorenzofb ή μέσω email. Μπορείτε επίσης να επικοινωνήσετε με το TechCrunch μέσω του SecureDrop.
Η Google δεν θα σχολιάσει συγκεκριμένα θύματα.
Ο εκπρόσωπος της CrowdStrike, Kevin Benacci, δήλωσε στο TechCrunch σε μια δήλωση ότι η εταιρεία «δεν επηρεάζεται από το ζήτημα του Gainsight και όλα τα δεδομένα πελατών παραμένουν ασφαλή». Η CrowdStrike είπε ότι τερμάτισε έναν «ύποπτο εμπιστευτικό πρόσωπο» για φερόμενη διαβίβαση πληροφοριών σε χάκερ.
Το TechCrunch προσέγγισε όλες τις εταιρείες που αναφέρονται από το Scattered Lapsus$ Hunters. Ένας εκπρόσωπος της Verizon επιβεβαίωσε τη λήψη του email μας.
Ο εκπρόσωπος της Malwarebytes, Ashley Stewart, δήλωσε στο TechCrunch ότι η ομάδα ασφαλείας της εταιρείας «έχει γνώση» των προβλημάτων Gainsight και Salesforce και «διερευνά ενεργά το θέμα».
Κατά τη στιγμή της δημοσίευσης, καμία από τις άλλες εταιρείες δεν απάντησε σε αιτήματα για σχολιασμό.
Χάκερ της ομάδας ShinyHunters είπαν στο TechCrunch σε μια διαδικτυακή συνομιλία ότι απέκτησαν πρόσβαση στο Gainsight, χάρη στην προηγούμενη καμπάνια τους hacking που στόχευε πελάτες της Salesloft, η οποία παρέχει μια πλατφόρμα μάρκετινγκ με τεχνητή νοημοσύνη και chatbot που ονομάζεται Drift. Σε εκείνη την προηγούμενη περίπτωση, οι χάκερ έκλεψαν κουπόνια ελέγχου ταυτότητας Drift από αυτούς τους πελάτες, επιτρέποντας στους χάκερ να εισβάλουν στις συνδεδεμένες παρουσίες Salesforce και να κατεβάσουν το περιεχόμενό τους.
Εκείνη την εποχή, Gainsight επιβεβαιωμένος ήταν μεταξύ των θυμάτων αυτής της εκστρατείας hacking.
«Η Gainsight ήταν πελάτης του Salesloft Drift, επηρεάστηκαν και επομένως παραβιάστηκαν εξ ολοκλήρου από εμάς», δήλωσε ο ShinyHunters.
Η εκπρόσωπος της Salesforce, Nicole Aranda, δήλωσε στο TechCrunch ότι «ως θέμα πολιτικής, η Salesforce δεν σχολιάζει συγκεκριμένα ζητήματα πελατών».
Το Gainsight δεν απάντησε στα αιτήματα της TechCrunch για σχολιασμό.
Την Πέμπτη, Salesforce είπε Δεν υπάρχει «καμία ένδειξη ότι αυτό το ζήτημα προέκυψε από κάποια ευπάθεια στην πλατφόρμα Salesforce», αποστασιοποιούμενη ουσιαστικά από τις παραβιάσεις δεδομένων των πελατών της.
Η Gainsight δημοσιεύει ενημερώσεις σχετικά με το περιστατικό στη σελίδα περιστατικών του. Την Παρασκευή, η εταιρεία είπε ότι τώρα συνεργάζεται με τη μονάδα αντιμετώπισης περιστατικών της Google Mandiant για να βοηθήσει στη διερεύνηση της παραβίασης, ότι το εν λόγω περιστατικό «προήλθε από την εξωτερική σύνδεση των εφαρμογών — όχι από κάποιο πρόβλημα ή ευπάθεια στην πλατφόρμα Salesforce» και ότι «μια εγκληματολογική ανάλυση συνεχίζεται ως μέρος μιας ολοκληρωμένης και ανεξάρτητης εξέτασης».
“Η Salesforce έχει ανακαλέσει προσωρινά τα διακριτικά ενεργής πρόσβασης για εφαρμογές που συνδέονται με το Gainsight ως προληπτικό μέτρο, ενώ η έρευνά της για ασυνήθιστη δραστηριότητα συνεχίζεται”, σύμφωνα με τη σελίδα περιστατικών του Gainsight, η οποία ανέφερε ότι η Salesforce ειδοποιεί τους επηρεαζόμενους πελάτες των οποίων τα δεδομένα έχουν κλαπεί.
Στο κανάλι της στο Telegram, η Scattered Lapsus$ Hunters είπε ότι σχεδιάζει να ανοίξει έναν αποκλειστικό ιστότοπο για να εκβιάσει τα θύματα της τελευταίας της καμπάνιας μέχρι την επόμενη εβδομάδα. Αυτός είναι ο τρόπος λειτουργίας της ομάδας. Τον Οκτώβριο, οι χάκερ δημοσίευσαν επίσης έναν παρόμοιο ιστότοπο εκβιασμών μετά την κλοπή των δεδομένων Salesforce του θύματος στο περιστατικό Salesloft.
Οι Scattered Lapsus$ Hunters είναι μια ομάδα αγγλόφωνων χάκερ που αποτελείται από διάφορες συμμορίες κυβερνοεγκληματιών, συμπεριλαμβανομένων των ShinyHunters, Scattered Spider και Lapsus$, τα μέλη των οποίων χρησιμοποιούν τακτικές κοινωνικής μηχανικής για να ξεγελάσουν τους υπαλλήλους της εταιρείας ώστε να παραχωρήσουν στους χάκερ πρόσβαση στα συστήματα ή τις βάσεις δεδομένων τους. Τα τελευταία χρόνια, αυτές οι ομάδες έχουν διεκδικήσει πολλά θύματα υψηλού προφίλ, όπως τα MGM Resorts, Coinbase, DoorDash και άλλα.
Via: techcrunch.com
