Широкомасштабная кибератака скомпрометировала данные Salesforce более чем 200 компаний после взлома Gainsight, поставщика платформы поддержки клиентов. Инцидент подчеркивает растущие риски в цепочках поставок программного обеспечения и возрастающую изощренность хакерских группировок.
Взлом и Пострадавшие Компании
Хакеры, действующие под псевдонимом Scattered Lapsus$ Hunters (включая членов группировки ShinyHunters), успешно извлекли данные из многочисленных экземпляров Salesforce через приложения, опубликованные Gainsight. Несмотря на то, что Salesforce изначально преуменьшила инцидент, заявив об отсутствии уязвимостей в своей платформе, масштаб утечки теперь подтвержден и затронул более 200 организаций.
Хакерская группировка публично взяла на себя ответственность за таргетирование крупных корпораций, включая Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters и Verizon. Несмотря на эти заявления, точный объем скомпрометированных данных остается неясным, поскольку многие компании еще не признали публично свою причастность.
Как Работал Взлом
Атака использовала предыдущую кампанию, нацеленную на Salesloft, еще одну маркетинговую платформу. Хакеры украли токены аутентификации Drift у клиентов Salesloft, получив несанкционированный доступ к связанным учетным записям Salesforce. Gainsight, будучи клиентом Salesloft, была скомпрометирована, что привело к каскадному эффекту, в результате которого были раскрыты данные ее клиентов. Хакеры позже подтвердили, что полное компрометирование Gainsight произошло из-за предыдущего взлома.
Реакция Компаний и Расследования
Реакция пострадавших компаний была неоднозначной. CrowdStrike быстро заявила, что не пострадала, и уволила подозреваемого инсайдера, который мог помочь хакерам. Verizon отклонила претензии как «необоснованные», в то время как Malwarebytes и Thomson Reuters подтвердили, что проводят расследование. Docusign, хотя и не обнаружила немедленных доказательств взлома, в качестве меры предосторожности прервала интеграцию с Gainsight. Salesforce временно отозвала активные токены доступа для приложений, подключенных к Gainsight, в качестве меры предосторожности.
Вымогательство и Будущие Угрозы
Scattered Lapsus$ Hunters планирует запустить веб-сайт с вымогательством на следующей неделе, чтобы потребовать выкуп от жертв, повторяя тактику, использованную в предыдущих инцидентах. Группировка, состоящая из англоязычных хакеров из группировок, таких как ShinyHunters, Scattered Spider и Lapsus$, специализируется на социальной инженерии для проникновения в системы.
Общая Картина
Этот инцидент подчеркивает уязвимость взаимосвязанных программных экосистем. Сторонние приложения и интеграции могут служить слабым звеном, позволяя злоумышленникам получать доступ к конфиденциальным данным, хранящимся у крупных корпораций. Тот факт, что Salesforce дистанцировалась от взлома, несмотря на то, что ее клиенты пострадали, вызывает вопросы об ответственности платформы в обеспечении безопасности цепочки поставок.
Этот взлом служит суровым напоминанием о том, что безопасность данных заключается не только в защите собственных систем, но и в проверке практик безопасности каждого подключенного сервиса.
