Een wijdverbreide cyberaanval heeft de Salesforce-gegevens van meer dan 200 bedrijven in gevaar gebracht, na een inbreuk bij Gainsight, een leverancier van klantondersteuningsplatforms. Het incident benadrukt de escalerende risico’s binnen de softwaretoeleveringsketens en de toenemende verfijning van hackgroepen.
De inbreuk en de getroffen bedrijven
Hackers, opererend onder de naam Scattered Lapsus$ Hunters (waaronder leden van de ShinyHunters-bende), hebben met succes gegevens uit talloze Salesforce-instanties gehaald via applicaties die zijn gepubliceerd door Gainsight. Hoewel Salesforce het incident aanvankelijk bagatelliseerde en stelde dat er geen kwetsbaarheid bestaat binnen het platform, wordt nu bevestigd dat de omvang van de inbreuk meer dan 200 organisaties treft.
De hackgroep heeft publiekelijk de verantwoordelijkheid opgeëist voor het aanvallen van grote bedrijven, waaronder Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters en Verizon. Ondanks deze beweringen blijft de exacte reikwijdte van de gecompromitteerde gegevens onduidelijk, aangezien veel bedrijven hun betrokkenheid nog publiekelijk moeten erkennen.
Hoe de hack werkte
De aanval maakte gebruik van een eerdere campagne die zich richtte op Salesloft, een ander marketingplatform. Hackers stalen Drift-authenticatietokens van Salesloft-klanten, waardoor ze ongeautoriseerde toegang kregen tot gekoppelde Salesforce-accounts. Gainsight, een Salesloft-klant, werd vervolgens gecompromitteerd, waardoor een cascade-effect ontstond waardoor de gegevens van zijn klanten openbaar werden. De hackers bevestigden later dat het volledige compromis van Gainsight voortkwam uit deze eerdere hack.
Reacties en onderzoeken van het bedrijf
De reacties van getroffen bedrijven zijn wisselend. CrowdStrike verklaarde snel dat er geen gevolgen voor waren en beëindigde een vermoedelijke insider die de hackers mogelijk had geholpen. Verizon deed de beweringen af als ‘niet onderbouwd’, terwijl Malwarebytes en Thomson Reuters bevestigden dat ze onderzoek deden. Hoewel Docusign geen onmiddellijk bewijs van een compromis vond, beëindigde hij proactief de Gainsight-integraties uit voorzorg. Salesforce heeft uit voorzorg tijdelijk actieve toegangstokens voor met Gainsight verbonden apps ingetrokken.
Afpersing en toekomstige bedreigingen
De verspreide Lapsus$ Hunters zijn van plan volgende week een afpersingswebsite te lanceren om losgeld van de slachtoffers te eisen, in navolging van de tactieken die bij eerdere incidenten zijn gebruikt. De groep, een collectief van Engelssprekende hackers van bendes als ShinyHunters, Scattered Spider en Lapsus$, is gespecialiseerd in social engineering om systemen te infiltreren.
Het grotere geheel
Dit incident onderstreept de kwetsbaarheid van onderling verbonden software-ecosystemen. Apps en integraties van derden kunnen als zwakke schakels dienen, waardoor aanvallers toegang kunnen krijgen tot gevoelige gegevens van grotere bedrijven. Het feit dat Salesforce afstand heeft genomen van de inbreuk ondanks de gevolgen voor zijn klanten, roept vragen op over de platformverantwoordelijkheid op het gebied van de beveiliging van de toeleveringsketen.
De aanval herinnert ons er duidelijk aan dat gegevensbeveiliging niet alleen gaat over het beschermen van de eigen systemen, maar ook over het doorlichten van de beveiligingspraktijken van elke aangesloten dienst.
