Ein weit verbreiteter Cyberangriff hat die Salesforce-Daten von mehr als 200 Unternehmen kompromittiert, nachdem es bei Gainsight, einem Anbieter von Kundensupportplattformen, zu einem Verstoß gekommen war. Der Vorfall verdeutlicht die eskalierenden Risiken innerhalb der Software-Lieferketten und die zunehmende Raffinesse von Hackergruppen.
Der Verstoß und die betroffenen Unternehmen
Hacker, die unter dem Namen Scattered Lapsus$ Hunters agieren (darunter auch Mitglieder der ShinyHunters-Bande), haben über von Gainsight veröffentlichte Anwendungen erfolgreich Daten aus zahlreichen Salesforce-Instanzen extrahiert. Während Salesforce den Vorfall zunächst herunterspielte und erklärte, dass in seiner Plattform keine Schwachstelle bestehe, ist nun bestätigt, dass das Ausmaß des Verstoßes über 200 Unternehmen betrifft.
Die Hackergruppe hat öffentlich die Verantwortung für Angriffe auf große Unternehmen übernommen, darunter Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters und Verizon. Trotz dieser Behauptungen bleibt der genaue Umfang der kompromittierten Daten unklar, da viele Unternehmen ihre Beteiligung noch nicht öffentlich eingestanden haben.
Wie der Hack funktionierte
Der Angriff nutzte eine frühere Kampagne, die auf Salesloft, eine andere Marketingplattform, abzielte. Hacker haben Drift-Authentifizierungstoken von Salesloft-Kunden gestohlen und ihnen damit unbefugten Zugriff auf verknüpfte Salesforce-Konten gewährt. Als Salesloft-Kunde wurde Gainsight dann kompromittiert, was zu einem Kaskadeneffekt führte, der die Daten seiner Kunden offenlegte. Die Hacker bestätigten später, dass die gesamte Kompromittierung von Gainsight aus diesem früheren Hack stammte.
Antworten und Untersuchungen des Unternehmens
Die Reaktionen der betroffenen Unternehmen fielen unterschiedlich aus. CrowdStrike erklärte schnell, dass es nicht betroffen sei, und entließ einen mutmaßlichen Insider, der den Hackern möglicherweise geholfen haben könnte. Verizon wies die Behauptungen als „unbegründet“ zurück, während Malwarebytes und Thomson Reuters bestätigten, dass sie Ermittlungen einleiten. Obwohl Docusign keine unmittelbaren Anzeichen einer Kompromittierung feststellte, stoppte es die Gainsight-Integrationen vorsorglich proaktiv. Salesforce hat vorsorglich aktive Zugriffstoken für mit Gainsight verbundene Apps vorübergehend widerrufen.
Erpressung und zukünftige Bedrohungen
Scattered Lapsus$ Hunters plant, nächste Woche eine Erpressungs-Website zu starten, um von den Opfern Lösegeld zu fordern, was die Taktiken früherer Vorfälle widerspiegelt. Die Gruppe, ein Kollektiv englischsprachiger Hacker aus Banden wie ShinyHunters, Scattered Spider und Lapsus$, ist auf Social Engineering zur Infiltration von Systemen spezialisiert.
Das Gesamtbild
Dieser Vorfall unterstreicht die Verwundbarkeit miteinander verbundener Software-Ökosysteme. Apps und Integrationen von Drittanbietern können als Schwachstellen dienen und Angreifern den Zugriff auf sensible Daten größerer Unternehmen ermöglichen. Die Tatsache, dass sich Salesforce von der Sicherheitsverletzung distanzierte, obwohl seine Kunden betroffen waren, wirft Fragen zur Plattformverantwortung bei der Lieferkettensicherheit auf.
Der Angriff ist eine deutliche Erinnerung daran, dass es bei der Datensicherheit nicht nur um den Schutz der eigenen Systeme geht, sondern auch um die Überprüfung der Sicherheitspraktiken aller angeschlossenen Dienste.
