Компания Google подтвердила информацию о масштабной атаке на цепочку поставок, в результате которой хакеры получили доступ к данным более 200 компаний, хранившимся в CRM-системе Salesforce.
Google в панике: в результате масштабной хакерской атаки украдены данные 200 компаний
Техногигант подтвердил одну из крупнейших утечек года, затронувшую пользователей LinkedIn и Verizon.
Freepik
Как сообщает портал TechCrunch со ссылкой на аналитиков Google Threat Intelligence Group., несанкционированный доступ был получен через приложения компании Gainsight, которая предоставляет платформу для поддержки клиентов и интегрируется с Salesforce.
Злоумышленники обошли защитные механизмы и добрались до конфиденциальной информации.
Даркнет знает о вас больше, чем вы сами: почему хакеры атакуют всех подряд и как не стать их жертвой?
В Москве задержали создателей вируса «Медуза»: хакеры похищали данные и деньги с криптокошельков россиян
Мессенджер Max взломали? Хакеры заявили, что получили доступ к базе данных с информацией о всех пользователях
В Москве задержали создателей вируса «Медуза»: хакеры похищали данные и деньги с криптокошельков россиян
Мессенджер Max взломали? Хакеры заявили, что получили доступ к базе данных с информацией о всех пользователях
Инцидент стал достоянием гласности после того, как компания Salesforce сообщила о нарушении безопасности, затронувшем данные некоторых клиентов, не раскрывая при этом названий пострадавших организаций. Вскоре после этого главный аналитик угроз из Google Threat Intelligence Group Остин Ларсен уточнил масштаб проблемы, заявив, что компании известно о более чем 200 потенциально затронутых участников Salesforce.
Ответственность за взлом взяла на себя хакерская группировка Scattered Lapsus$ Hunters, в которую входит известная банда ShinyHunters. В своем телеграм-канале злоумышленники заявили, что в числе их целей оказались такие крупные компании, как:
- Atlassian
- CrowdStrike
- Docusign
- F5
- GitLab
- Malwarebytes
- SonicWall
- Thomson Reuters
- Verizon
Google отказался комментировать информацию о конкретных жертвах хакерской атаки.
Как стало известно TechCrunch, атака носила многоэтапный характер. Доступ к Gainsight был получен в результате их предыдущей хакерской кампании ShinyHunters, направленной на клиентов компании Salesloft, поставщика маркетинговой платформы Drift. В ходе той атаки хакеры похитили токены аутентификации Drift у клиентов Salesloft.
Поскольку Gainsight была одним из таких клиентов, ее инфраструктура была полностью скомпрометирована. Используя украденные токены, злоумышленники смогли получить доступ к связанным учетным записям Salesforce и выгрузить их содержимое.
Реакция компаний, упомянутых хакерами, оказалась неоднозначной. Так, например, представитель CrowdStrike заявил, что инцидент не затронул их инфраструктуру и данные клиентов остаются в безопасности. Однако компания подтвердила, что уволила «подозрительного инсайдера», который предположительно передавал информацию хакерам.
В Docusign сообщили, что после внутреннего расследования не нашли признаков компрометации данных, но из соображений предосторожности прекратили все интеграции с Gainsight и связанные потоки данных.
Verizon назвала заявление хакеров необоснованным, в то время как Malwarebytes и Thomson Reuters подтвердили, что активно расследуют инцидент.
Со своей стороны, Salesforce подчеркнула, что нет никаких признаков того, что инцидент стал результатом какой-либо уязвимости в платформе, фактически дистанцируясь от утечки данных у своих клиентов. В качестве превентивной меры Salesforce временно отозвала активные токены доступа для приложений, подключенных через Gainsight, пока продолжается расследование аномальной активности.
Компания Gainsight подтвердила инцидент на своей странице и сообщила, что для его расследования привлечены специалисты из подразделения Google Mandiant. Согласно заявлению Gainsight, инцидент произошел из-за внешнего подключения приложений, а не из-за какой-либо проблемы или уязвимости в платформе Salesforce.
Интересно, что хакерская группа Scattered Lapsus$ Hunters, известная своими атаками на такие компании, как MGM Resorts, Coinbase и DoorDash, заявила о планах запустить на следующей неделе специальный сайт для вымогательства у пострадавших компаний.
Это является их стандартной тактикой, которую они уже применяли после инцидента с Salesloft в октябре.