Широко поширена кібератака скомпрометувала дані Salesforce понад 200 компаній після злому постачальника платформи підтримки клієнтів Gainsight. Інцидент підкреслює зростаючі ризики в ланцюгах постачання програмного забезпечення та зростаючу витонченість хакерських груп.
Злом і постраждалі компанії
Хакери, що працюють під псевдонімом Scattered Lapsus$ Hunters (включно з членами групи ShinyHunters), успішно витягли дані з кількох екземплярів Salesforce через програми, опубліковані Gainsight. Хоча Salesforce спочатку применшувала значення інциденту, заявляючи про відсутність уразливостей на його платформі, тепер підтверджено масштаб зламу, який торкнувся понад 200 організацій.
Хакерська група публічно взяла на себе відповідальність за напади на великі корпорації, включаючи Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters і Verizon. Незважаючи на ці заяви, точний обсяг скомпрометованих даних залишається неясним, оскільки багато компаній ще публічно не визнали свою причетність.
Як працював злом
Атака скористалася попередньою кампанією, націленою на іншу маркетингову платформу Salesloft. Хакери викрали маркери автентифікації Drift у клієнтів Salesloft, отримавши несанкціонований доступ до пов’язаних облікових записів Salesforce. Gainsight, як клієнта Salesloft, було скомпрометовано, що призвело до каскадного ефекту, який став відкритим для даних клієнтів. Пізніше хакери підтвердили, що повна компрометація Gainsight сталася через попередній злом.
Реакція компанії та розслідування
Реакція постраждалих компаній була неоднозначною. CrowdStrike швидко заявив, що не постраждав, і звільнив підозрюваного інсайдера, який міг допомогти хакерам. Verizon відкинула ці заяви як «безпідставні», а Malwarebytes і Thomson Reuters підтвердили, що ведуть розслідування. Незважаючи на те, що Docusign не виявив безпосередніх доказів порушення, припинив свою інтеграцію з Gainsight як запобіжний захід. Salesforce тимчасово скасував маркери активного доступу для програм, підключених до Gainsight, як запобіжний захід.
Вимагання та майбутні загрози
Scattered Lapsus$ Hunters планує наступного тижня запустити сайт здирництва, щоб вимагати від жертв викуп, повторюючи тактику, використану в попередніх інцидентах. Група, що складається з англомовних хакерів із таких груп, як ShinyHunters, Scattered Spider і Lapsus$, спеціалізується на соціальній інженерії для проникнення в системи.
Велика картина
Цей інцидент підкреслює вразливість взаємопов’язаних програмних екосистем. Сторонні програми та інтеграції можуть служити слабкою ланкою, дозволяючи зловмисникам отримати доступ до конфіденційних даних, що зберігаються великими корпораціями. Той факт, що Salesforce дистанціювався від порушення, незважаючи на те, що постраждали його клієнти, викликає сумніви щодо відповідальності платформи за забезпечення безпеки ланцюга постачання.
Цей хак служить яскравим нагадуванням про те, що безпека даних полягає не лише в захисті ваших власних систем, а й у перевірці практик безпеки кожної підключеної служби.
