Un attacco informatico diffuso ha compromesso i dati Salesforce di oltre 200 aziende, a seguito di una violazione di Gainsight, un fornitore di piattaforme di assistenza clienti. L’incidente evidenzia i crescenti rischi all’interno delle catene di fornitura del software e la crescente sofisticatezza dei gruppi di hacker.
La violazione e le aziende interessate
Gli hacker, che operano sotto il soprannome di Scattered Lapsus$ Hunters (compresi i membri della banda ShinyHunters), hanno estratto con successo dati da numerose istanze di Salesforce attraverso le applicazioni pubblicate da Gainsight. Sebbene Salesforce inizialmente abbia minimizzato l’incidente, affermando che non esiste alcuna vulnerabilità all’interno della sua piattaforma, ora è confermato che l’entità della violazione colpisce oltre 200 organizzazioni.
Il gruppo di hacker ha pubblicamente rivendicato la responsabilità di prendere di mira grandi aziende, tra cui Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters e Verizon. Nonostante queste affermazioni, l’esatta portata dei dati compromessi rimane poco chiara, poiché molte aziende devono ancora riconoscere pubblicamente il proprio coinvolgimento.
Come ha funzionato l’hacking
L’attacco ha sfruttato una campagna precedente che aveva preso di mira Salesloft, un’altra piattaforma di marketing. Gli hacker hanno rubato i token di autenticazione Drift ai clienti Salesloft, garantendo loro l’accesso non autorizzato agli account Salesforce collegati. Gainsight, essendo un cliente di Salesloft, è stato quindi compromesso, creando un effetto a cascata che ha esposto i dati dei suoi clienti. Gli hacker hanno successivamente confermato che l’intera compromissione di Gainsight proveniva da questo precedente hack.
Risposte e indagini dell’azienda
Le reazioni delle aziende interessate sono state diverse. CrowdStrike ha subito dichiarato che non era interessato e ha eliminato un sospetto insider che avrebbe potuto aiutare gli hacker. Verizon ha respinto le affermazioni come “infondate”, mentre Malwarebytes e Thomson Reuters hanno confermato che stavano indagando. Docusign, pur non trovando prove immediate di compromissione, ha interrotto proattivamente le integrazioni di Gainsight a titolo precauzionale. A titolo precauzionale, Salesforce ha temporaneamente revocato i token di accesso attivi per le app connesse a Gainsight.
Estorsione e minacce future
Scattered Lapsus$ Hunters prevede di lanciare un sito web di estorsione la prossima settimana per chiedere un riscatto alle vittime, rispecchiando le tattiche utilizzate in incidenti precedenti. Il gruppo, un collettivo di hacker di lingua inglese provenienti da bande come ShinyHunters, Scattered Spider e Lapsus$, è specializzato in ingegneria sociale per infiltrarsi nei sistemi.
Il quadro più ampio
Questo incidente sottolinea la vulnerabilità degli ecosistemi software interconnessi. Le app e le integrazioni di terze parti possono fungere da anelli deboli, consentendo agli aggressori di accedere a dati sensibili detenuti da aziende più grandi. Il fatto che Salesforce abbia preso le distanze dalla violazione nonostante i suoi clienti siano stati colpiti solleva interrogativi sulla responsabilità della piattaforma nella sicurezza della catena di fornitura.
L’attacco serve a ricordare chiaramente che la sicurezza dei dati non significa solo proteggere i propri sistemi, ma anche controllare le pratiche di sicurezza di ogni servizio connesso.
