Google thotë se hakerat vodhën të dhëna nga 200 kompani pas shkeljes së sigurisë së Gainsight
Google ka konfirmuar se hakerat kanë vjedhur të dhënat e ruajtura në Salesforce të më shumë se 200 kompanive në një sulm të madh në zinxhirin e furnizimit.
Të enjten, Salesforce zbuloi një shkelje të të dhënave të “disa klientëve të Salesforce” — pa përmendur kompanitë e prekura — që u vodhën nëpërmjet aplikacioneve të publikuara nga Gainsight, e cila ofron një platformë mbështetjeje për klientët për kompani të tjera.
Në një deklaratë, Austin Larsen, analisti kryesor i kërcënimeve të Google Threat Intelligence Group, tha se kompania “është në dijeni të më shumë se 200 rasteve të Salesforce që mund të preken”.
Pasi Salesforce njoftoi shkeljen, grupi famëkeq dhe disi i paqartë i hakerave i njohur si Scattered Lapsus$ Hunters, që përfshin bandën ShinyHunters, mori përgjegjësinë për hakimet në një kanal Telegram, të cilin TechCrunch e ka parë.
Grupi i hakerëve mori përgjegjësinë për sulmet kibernetike që prekën Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters dhe Verizon.
Google nuk do të komentonte për viktima specifike.
Zëdhënësi i CrowdStrike, Kevin Benacci, i tha TechCrunch në një deklaratë se kompania “nuk është e prekur nga problemi Gainsight dhe të gjitha të dhënat e klientëve mbeten të sigurta”. CrowdStrike i konfirmoi TechCrunch se kishte pushuar nga puna një “person të dyshimtë të brendshëm” për shkak se dyshohej se kishte kaluar informacione te hakerët.
TechCrunch kontaktoi të gjitha kompanitë e përmendura nga Scattered Lapsus$ Hunters.
Zëdhënësi i Verizon, Kevin Israel, tha në një deklaratë se “Verizon është në dijeni të pretendimit të pabazuar nga aktori kërcënues”, pa ofruar prova për këtë pretendim.
Zëdhënësja e Malwarebytes, Ashley Stewart, i tha TechCrunch se ekipi i sigurisë së kompanisë është “i vetëdijshëm” për problemet e Gainsight dhe Salesforce dhe “po e heton në mënyrë aktive çështjen”.
Një zëdhënës i Thomson Reuters tha se kompania po “heton në mënyrë aktive”.
Michael Adams, drejtori kryesor i sigurisë së informacionit në Docusign, i tha TechCrunch në një deklaratë se “pas një analize gjithëpërfshirëse të regjistrave dhe një hetimi të brendshëm, nuk kemi asnjë tregues të kompromentimit të të dhënave të Docusign në këtë kohë”. Megjithatë, Adams tha se, “nga një masë e madhe kujdesi, kemi marrë një numër masash duke përfshirë ndërprerjen e të gjitha integrimeve të Gainsight dhe përmbajtjen e rrjedhave të të dhënave përkatëse”.
Në kohën e publikimit, asnjë nga kompanitë e tjera nuk iu përgjigj kërkesave për koment.
Hakerët e grupit ShinyHunters i thanë TechCrunch në një bisedë online se ata fituan akses në Gainsight falë fushatës së tyre të mëparshme të hakerimit që synonte klientët e Salesloft, e cila ofron një platformë marketingu të mundësuar nga inteligjenca artificiale dhe chatbot të quajtur Drift. Në atë rast të mëparshëm, hakerët vodhën tokenët e autentifikimit Drift nga ata klientë, duke u lejuar hakerëve të hynin në instancat e tyre të lidhura të Salesforce dhe të shkarkonin përmbajtjen e tyre.
Në atë kohë, Gainsight konfirmoi se ishte midis viktimave të asaj fushate hakerimi.
“Gainsight ishte një klient i Salesloft Drift, ata u prekën dhe për këtë arsye u kompromentuan tërësisht nga ne”, tha një zëdhënës i grupit ShinyHunters për TechCrunch.
Zëdhënësja e Salesforce, Nicole Aranda, i tha TechCrunch se “si çështje politike, Salesforce nuk komenton për çështje specifike të klientëve”.
Gainsight nuk iu përgjigj kërkesave të TechCrunch për koment.
Të enjten, Salesforce tha se “nuk ka asnjë tregues se ky problem ka rezultuar nga ndonjë dobësi në platformën Salesforce”, duke u distancuar në mënyrë efektive nga shkeljet e të dhënave të klientëve të saj.
Gainsight ka publikuar përditësime rreth incidentit në faqen e saj të incidenteve. Të premten, kompania tha se tani po punon me njësinë e reagimit ndaj incidenteve të Google, Mandiant, për të ndihmuar në hetimin e shkeljes, se incidenti në fjalë “buroi nga lidhja e jashtme e aplikacioneve – jo nga ndonjë problem apo dobësi brenda platformës Salesforce” dhe se “një analizë mjeko-ligjore po vazhdon si pjesë e një shqyrtimi gjithëpërfshirës dhe të pavarur”.
“Salesforce ka revokuar përkohësisht tokenët aktivë të aksesit për aplikacionet e lidhura me Gainsight si një masë paraprake, ndërsa hetimi i tyre për aktivitetin e pazakontë vazhdon”, sipas faqes së incidentit të Gainsight, e cila tha se Salesforce po njofton klientët e prekur, të dhënat e të cilëve janë vjedhur.
Në kanalin e saj në Telegram, Scattered Lapsus$ Hunters tha se planifikon të lançojë një faqe interneti të dedikuar për të zhvatur viktimat e fushatës së saj të fundit deri javën e ardhshme. Ky është mënyra e veprimit të grupit; në tetor, hakerat publikuan gjithashtu një faqe interneti të ngjashme për zhvatje pasi vodhën të dhënat e viktimave në Salesforce në incidentin e Salesloft.
Gjuetarët e Scattered Lapsus$ janë një kolektiv hakerash anglishtfolës i përbërë nga disa banda kriminale kibernetike, duke përfshirë ShinyHunters, Scattered Spider dhe Lapsus$, anëtarët e të cilëve përdorin taktika të inxhinierisë sociale për të mashtruar punonjësit e kompanive që t’u japin hakerëve akses në sistemet ose bazat e të dhënave të tyre. Në vitet e fundit, këto grupe kanë marrë përsipër disa viktima të profilit të lartë, të tilla si MGM Resorts, Coinbase, DoorDash dhe të tjerë.