Powszechny cyberatak naraził dane Salesforce ponad 200 firm w następstwie włamania do dostawcy platformy obsługi klienta Gainsight. Incydent uwydatnia rosnące ryzyko w łańcuchach dostaw oprogramowania i rosnące wyrafinowanie grup hakerskich.
Hakowanie i firmy, których to dotyczy
Hakerom działającym pod pseudonimem Scattered Lapsus$ Hunters (w tym członkowie grupy ShinyHunters) udało się wyodrębnić dane z wielu instancji Salesforce za pośrednictwem aplikacji opublikowanych przez Gainsight. Chociaż Salesforce początkowo bagatelizował incydent, twierdząc, że na jego platformie nie ma luk w zabezpieczeniach, obecnie potwierdzono skalę naruszenia, które dotknęło ponad 200 organizacji.
Grupa hakerów publicznie przyznała się do ataków na duże korporacje, w tym Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters i Verizon. Pomimo tych twierdzeń dokładny zakres zainfekowanych danych pozostaje niejasny, ponieważ wiele firm nie przyznało się jeszcze publicznie do swojego zaangażowania.
Jak działało hakowanie
W ataku wykorzystano poprzednią kampanię skierowaną przeciwko Salesloft, innej platformie marketingowej. Hakerzy ukradli tokeny uwierzytelniające Drift klientom Salesloft, uzyskując nieautoryzowany dostęp do powiązanych kont Salesforce. Gainsight, jako klient Salesloft, został naruszony, co spowodowało efekt kaskadowy, w wyniku którego ujawniono dane jego klientów. Hakerzy potwierdzili później, że całkowity kompromis Gainsighta był wynikiem poprzedniego włamania.
Reakcje firmy i dochodzenia
Reakcja dotkniętych firm była mieszana. CrowdStrike szybko zapewnił, że nic mu się nie stało i zwolnił podejrzanego, który mógł pomóc hakerom. Verizon odrzucił te twierdzenia jako „bezpodstawne”, natomiast Malwarebytes i Thomson Reuters potwierdziły, że prowadzą dochodzenie. Docusign, mimo że nie znalazł bezpośrednich dowodów na naruszenie, zapobiegawczo zaprzestał integracji z Gainsightem. W ramach środków ostrożności Salesforce tymczasowo cofnął aktywne tokeny dostępu dla aplikacji podłączonych do Gainsight.
Wymuszenia i przyszłe zagrożenia
Scattered Lapsus$ Hunters planuje w przyszłym tygodniu uruchomić stronę internetową z wyłudzeniami, w celu żądania okupu od ofiar, powtarzając taktykę zastosowaną w poprzednich incydentach. Grupa składająca się z anglojęzycznych hakerów z grup takich jak ShinyHunters, Scattered Spider i Lapsus$ specjalizuje się w inżynierii społecznej w celu penetracji systemów.
Wielki obraz
Ten incydent uwydatnia lukę w zabezpieczeniach wzajemnie połączonych ekosystemów oprogramowania. Aplikacje i integracje innych firm mogą służyć jako słabe ogniwo, umożliwiając atakującym uzyskanie dostępu do wrażliwych danych przechowywanych przez duże korporacje. Fakt, że Salesforce zdystansował się od naruszenia, mimo że dotknęło to jego klientów, rodzi pytania o odpowiedzialność platformy za zapewnienie bezpieczeństwa łańcucha dostaw.
Ten hack stanowi wyraźne przypomnienie, że bezpieczeństwo danych nie polega tylko na ochronie własnych systemów, ale także na przeglądaniu praktyk bezpieczeństwa każdej połączonej usługi.
