Serangan siber yang meluas telah membahayakan data Salesforce di lebih dari 200 perusahaan, menyusul pelanggaran di Gainsight, penyedia platform dukungan pelanggan. Insiden ini menyoroti meningkatnya risiko dalam rantai pasokan perangkat lunak dan semakin canggihnya kelompok peretas.
Pelanggaran dan Perusahaan yang Terkena Dampak
Peretas, yang beroperasi di bawah moniker Scattered Lapsus$ Hunters (termasuk anggota geng ShinyHunters), berhasil mengekstraksi data dari berbagai instance Salesforce melalui aplikasi yang diterbitkan oleh Gainsight. Meskipun Salesforce awalnya meremehkan insiden tersebut, dengan menyatakan tidak ada kerentanan dalam platformnya, tingkat pelanggaran kini dipastikan berdampak pada lebih dari 200 organisasi.
Kelompok peretas ini secara terbuka mengaku bertanggung jawab untuk menargetkan perusahaan-perusahaan besar, termasuk Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters, dan Verizon. Terlepas dari klaim tersebut, cakupan sebenarnya dari data yang disusupi masih belum jelas, karena banyak perusahaan belum secara terbuka mengakui keterlibatan mereka.
Cara Kerja Peretasan
Serangan tersebut memanfaatkan kampanye sebelumnya yang menargetkan Salesloft, platform pemasaran lainnya. Peretas mencuri token autentikasi Drift dari pelanggan Salesloft, memberi mereka akses tidak sah ke akun Salesforce tertaut. Gainsight, sebagai pelanggan Salesloft, kemudian disusupi, menciptakan efek berjenjang yang mengekspos data kliennya. Para peretas kemudian mengonfirmasi bahwa seluruh kompromi Gainsight berasal dari peretasan sebelumnya.
Tanggapan dan Investigasi Perusahaan
Reaksi dari perusahaan-perusahaan yang terkena dampak beragam. CrowdStrike dengan cepat menyatakan bahwa mereka tidak terpengaruh dan memberhentikan orang yang diduga membantu para peretas. Verizon menolak klaim tersebut dan menyebutnya “tidak berdasar,” sementara Malwarebytes dan Thomson Reuters mengonfirmasi bahwa mereka sedang menyelidikinya. Docusign, meskipun tidak menemukan bukti adanya kompromi, secara proaktif menghentikan integrasi Gainsight sebagai tindakan pencegahan. Salesforce untuk sementara waktu telah mencabut token akses aktif untuk aplikasi yang terhubung dengan Gainsight sebagai tindakan pencegahan.
Pemerasan dan Ancaman di Masa Depan
Pemburu Lapsus$ yang tersebar berencana meluncurkan situs pemerasan minggu depan untuk meminta uang tebusan dari para korban, yang mencerminkan taktik yang digunakan dalam insiden sebelumnya. Kelompok tersebut, merupakan kumpulan peretas berbahasa Inggris dari geng seperti ShinyHunters, Scattered Spider, dan Lapsus$, yang berspesialisasi dalam rekayasa sosial untuk menyusup ke sistem.
Gambaran Lebih Besar
Insiden ini menggarisbawahi kerentanan ekosistem perangkat lunak yang saling berhubungan. Aplikasi dan integrasi pihak ketiga dapat berfungsi sebagai tautan lemah, yang memungkinkan penyerang mendapatkan akses ke data sensitif yang dimiliki oleh perusahaan besar. Fakta bahwa Salesforce menjauhkan diri dari pelanggaran meskipun pelanggannya terkena dampaknya menimbulkan pertanyaan tentang tanggung jawab platform dalam keamanan rantai pasokan.
Serangan ini menjadi pengingat bahwa keamanan data bukan hanya tentang melindungi sistem milik sendiri, namun juga tentang memeriksa praktik keamanan setiap layanan yang terhubung.
