Масштабная атака на Gainsight: данные более 200 компаний оказались в руках хакеров

Об этом сообщает KURAZH

В результате масштабной кибератаки, произошедшей через платформу Gainsight, были украдены данные более 200 компаний, использующих сервисы Salesforce. Об этом инциденте стало известно после расследования специалистов Google, которые подтвердили серьезность утечки и ее влияние на цепочку поставок ряда международных корпораций.

Детали кибератаки и реакция компаний

По словам аналитика Google Threat Intelligence Остина Ларсена, атака затронула сотни инстанций Salesforce. Представители Salesforce подтвердили, что злоумышленники получили доступ к части данных клиентов, однако список пострадавших компаний не разглашается. Установлено, что утечка стала возможной через сторонние приложения Gainsight, которые использовались для клиентского сервиса, а именно инструменты Salesloft и Drift. Эти интеграции позволили хакерам получить токены аутентификации и проникнуть в корпоративные данные.

«Хакеры украли данные более 200 компаний, которые хранились в Salesforce, сообщила Google после обнародования информации об инциденте с платформой Gainsight. Эта утечка стала частью масштабной атаки на цепочку поставок, которая затронула несколько известных компаний».

Ответственность за атаку взяло на себя объединение Scattered Lapsus$ Hunters, которое имеет связи с хакерскими группами ShinyHunters, Lapsus$ и Scattered Spider. В своем Telegram-канале они заявили, что жертвами стали такие компании, как Atlassian, Docusign, GitLab, CrowdStrike, Malwarebytes, SonicWall, Thomson Reuters, Verizon и другие.

Официальные заявления и дальнейшие действия

Представители CrowdStrike заверили, что их данные не были скомпрометированы, однако компания уволила подозреваемого инсайдера. Docusign также заявила об отсутствии компрометации, но на всякий случай временно отключила все интеграции Gainsight. Тем временем Thomson Reuters, Malwarebytes и Verizon продолжают собственные расследования ситуации.

В Gainsight подчеркнули, что инцидент не связан с уязвимостями самой платформы Salesforce, а произошел из-за внешней интеграции. В настоящее время компания сотрудничает с экспертами Google Mandiant для проведения независимого анализа инцидента. В ответ на кибератаку Salesforce временно отозвала все действующие токены приложений Gainsight для повышения уровня безопасности пользователей.