Хакери вкрали дані 200 компаній зламавши Salesforce

Хакери викрали дані більш ніж 200 компаній, які використовують Salesforce, повідомила Google після розкриття інциденту з платформою Gainsight. Це стало частиною масштабної атаки на ланцюжок постачання, який торкнувся ряду відомих компаній.

За словами аналітика Google Threat Intelligence Остіна Ларсена, постраждали понад 200 інстанцій Salesforce. Salesforce підтвердила зламування “окремих клієнтських даних”, але конкретні компанії не назвала. Витік стався через сторонні програми Gainsight, що використовуються для обслуговування клієнтів. Раніше Gainsight застосовувала інструменти Salesloft та Drift, через які зловмисники отримали доступ до токенів аутентифікації.

Відповідальність за атаку взяло на себе угруповання Scattered Lapsus$ Hunters, пов’язане з групами ShinyHunters, Lapsus$ та Scattered Spider. У їхньому Telegram-каналі зазначено, що атака торкнулася компаній Atlassian, Docusign, GitLab, CrowdStrike, Malwarebytes, SonicWall, Thomson Reuters, Verizon та інші.

Деякі компанії вже прокоментували ситуацію: CrowdStrike заявила, що її дані не постраждали, хоча було звільнено підозрюваного інсайдера. Docusign не виявила компрометацію, проте з міркувань безпеки відключила інтеграцію Gainsight. Thomson Reuters, Malwarebytes та Verizon проводять власне розслідування.

Gainsight повідомила, що інцидент не пов’язаний із вразливістю Salesforce, а став наслідком зовнішньої інтеграції. Компанія співпрацює з Google Mandiant для незалежного аналізу, а Salesforce тимчасово відкликала активні токени додатків Gainsight. Scattered Lapsus$ Hunters анонсувало запуск сайту до наступного тижня з метою шантажу постраждалих компаній.