Rozsáhlý kybernetický útok ohrozil data Salesforce více než 200 společností po hacku poskytovatele platformy zákaznické podpory Gainsight. Incident zdůrazňuje rostoucí rizika v dodavatelských řetězcích softwaru a rostoucí sofistikovanost hackerských skupin.
Hackování a dotčené společnosti
Hackeři působící pod aliasem Scattered Lapsus$ Hunters (včetně členů skupiny ShinyHunters) úspěšně extrahovali data z více instancí Salesforce prostřednictvím aplikací publikovaných společností Gainsight. Ačkoli Salesforce zpočátku incident bagatelizoval a uvedl, že na jeho platformě nejsou žádné zranitelnosti, nyní byl potvrzen rozsah narušení, který se týká více než 200 organizací.
Hackerská skupina se veřejně přihlásila k odpovědnosti za zacílení na velké korporace, včetně Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters a Verizon. Navzdory těmto tvrzením zůstává přesný rozsah kompromitovaných dat nejasný, protože mnoho společností svou účast dosud veřejně nepřiznalo.
Jak hackování fungovalo
Útok využil předchozí kampaň zaměřenou na Salesloft, další marketingovou platformu. Hackeři ukradli autentizační tokeny Drift od zákazníků Salesloft, čímž získali neoprávněný přístup k přidruženým účtům Salesforce. Společnost Gainsight jako zákazník společnosti Salesloft byla ohrožena, což způsobilo kaskádový efekt, který odhalil zákaznická data. Hackeři později potvrdili, že kompletní kompromitace Gainsight byla způsobena předchozím hackem.
Reakce a vyšetřování společnosti
Reakce dotčených firem byla smíšená. CrowdStrike rychle řekl, že nebyl poškozen, a vyhodil podezřelého zasvěceného, který mohl hackerům pomáhat. Verizon odmítl tvrzení jako „nepodložená“, zatímco Malwarebytes a Thomson Reuters potvrdily, že je vyšetřují. Přestože Docusign nenašel žádné bezprostřední důkazy o porušení, preventivně přerušil integraci s Gainsight. Salesforce preventivně dočasně zrušil aktivní přístupové tokeny pro aplikace připojené k Gainsight.
Vydírání a budoucí hrozby
Scattered Lapsus$ Hunters plánuje příští týden spustit vyděračskou webovou stránku, kde budou požadovat výkupné od obětí, přičemž zopakují taktiku použitou v předchozích incidentech. Skupina sestávající z anglicky mluvících hackerů ze skupin jako ShinyHunters, Scattered Spider a Lapsus$ se specializuje na sociální inženýrství k pronikání do systémů.
Velký obrázek
Tento incident poukazuje na zranitelnost vzájemně propojených softwarových ekosystémů. Aplikace a integrace třetích stran mohou sloužit jako slabý článek, který útočníkům umožní získat přístup k citlivým datům uloženým ve velkých korporacích. Skutečnost, že se Salesforce distancovala od porušení, přestože byli postiženi její zákazníci, vyvolává otázky ohledně odpovědnosti platformy za zajištění bezpečnosti dodavatelského řetězce.
Tento hack slouží jako jasná připomínka, že zabezpečení dat není jen o ochraně vašich vlastních systémů, ale také o kontrole bezpečnostních postupů každé připojené služby.
