Хакеры украли данные 200 компаний взломав Salesforce

Хакеры похитили данные более 200 компаний, использующих Salesforce, сообщила Google после раскрытия инцидента с платформой Gainsight. Это стало частью масштабной атаки на цепочку поставки, которая затронула ряд известных компаний.

По словам аналитика Google Threat Intelligence Остина Ларсена, пострадали более 200 инстанций Salesforce. Salesforce подтвердила взлом «отдельных клиентских данных», но конкретные компании не назвала. Утечка произошла из-за сторонних приложений Gainsight, используемых для обслуживания клиентов. Ранее Gainsight применяла инструменты Salesloft и Drift, через которые злоумышленники получили доступ к токенам аутентификации.

Ответственность за атаку взяла на себя группировка Scattered Lapsus$ Hunters, связанная с группами ShinyHunters, Lapsus$ и Scattered Spider. В их Telegram-канале отмечено, что атака затронула компании Atlassian, Docusign, GitLab, CrowdStrike, Malwarebytes, SonicWall, Thomson Reuters, Verizon и другие.

Некоторые компании уже прокомментировали ситуацию: CrowdStrike заявила, что ее данные не пострадали, хотя был уволен подозреваемый инсайдер. Docusign не обнаружила компрометацию, однако из соображений безопасности отключила интеграцию Gainsight. Thomson Reuters, Malwarebytes и Verizon проводят собственное расследование.

Gainsight сообщила, что инцидент не связан с уязвимостью Salesforce, а стал следствием внешней интеграции. Компания сотрудничает с Google Mandiant для независимого анализа, а Salesforce временно отозвала активные токены приложений Gainsight. Scattered Lapsus$ Hunters анонсировало запуск сайта к следующей неделе с целью шантажа пострадавших компаний.