Хакерська атака на Gainsight: як зломщики викрали дані з 200 компаній та що це означає для безпеки бізнесу
У мережі відбулася масована атака, в результаті якої хакери викрали дані понад 200 компаній, що використовують платформу Salesforce. Інформацію про загрозу розголосила сама Salesforce, зазначивши, що порушення сталося через додатки, розроблені компанією Gainsight, яка спеціалізується на підтримці клієнтів. Конкретні імена постраждалих підприємств не були названы.
Гугл підтвердив, що їхня команда з аналітики загроз зафіксувала більше 200 потенційно уражених екземплярів Salesforce. За інформацією компанії, відзначену приписками, до атаки причетна хакерська група Scattered Lapsus$ Hunters, що об’єднує кілька відомих угруповань, включаючи ShinyHunters. Вони взяли на себе відповідальність за злом, зокрема цих же компаній: Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters та Verizon.
Хоча Google не розкриває деталі про постраждалих, представники CrowdStrike запевнили, що їхня компанія не постраждала від проблем з Gainsight. Водночас, в рамках внутрішнього розслідування, CrowdStrike звільнила “підозрюваного інсайдера”, якого запідозрили в співпраці з хакерами.
Дані про інші зазначені компанії наразі перевіряються. Наприклад, представник Verizon зазначив, що обізнаний про ці не підтверджені заяви хакерів, але не наводить доказів. Проте, Malwarebytes, за словами їхнього спікера, активно працюють над розслідуванням інциденту.
Була проведена ретельна перевірка всіх згаданих компаній. Docusign, зокрема, вказала на те, що наразі немає доказів компрометації їхніх даних, хоча для перестороги ліквідовані всі інтеграції з Gainsight.
Паралельно, хакери з ShinyHunters підтвердили, що отримали доступ до Gainsight внаслідок попередньої атаки, спрямованої на клієнтів Salesloft, викравши токени аутентифікації. Gainsight вже раніше заявляла, що стала жертвою цього злому.
Salesforce підкреслила, що проблеми виникли не через вразливості їхньої платформи, і тимчасово відкликала доступ до додатків Gainsight на час розслідування. Gainsight наразі співпрацює з командою з реагування на інциденти Google Mandiant для подальшої авторизації інциденту.
В своїх каналах у Telegram Scattered Lapsus$ Hunters заявили, що мають намір запустити спеціальний веб-сайт для шантажу компаній, яких вразила їхня кампанія. Відомо, що дані Salesforce залишаються одним з основних об’єктів для цієї хакерської групи, що вже здійснила ряд подібних атак у минулому.
Таким чином, ситуація залишається тривожною, адже масштаби компрометації даних можуть виявитися значно більшими, ніж наразі відомо. Компаніям належить терміново вжити заходів для забезпечення своєї кібербезпеки та убезпечення своїх клієнтів.
