O Google confirmou que hackers roubaram dados armazenados no Salesforce de mais de 200 empresas em um hack em grande escala da cadeia de suprimentos.
Na quinta-feira, a Salesforce divulgou uma violação de “dados Salesforce de certos clientes” – sem nomear as empresas afetadas – que foram roubadas por meio de aplicativos publicados pela Gainsight, que fornece uma plataforma de suporte ao cliente para outras empresas.
Em comunicado, Austin Larsen, principal analista de ameaças do Google Threat Intelligence Group, disse que a empresa “está ciente de mais de 200 instâncias do Salesforce potencialmente afetadas”.
Depois que a Salesforce anunciou a violação, o notório e um tanto nebuloso grupo de hackers conhecido como Scattered Lapsus$ Hunters, que inclui a gangue ShinyHunters, assumiu a responsabilidade pelos hacks em um canal do Telegram, que o TechCrunch viu.
O grupo de hackers assumiu a responsabilidade por hacks que afetaram Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters e Verizon.
Contate-nos
Você tem mais informações sobre essas violações de dados do Salesforce e do Gainsight? Ou outras violações de dados? A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram e Keybase @lorenzofb, ou e-mail. Você também pode entrar em contato com o TechCrunch via SecureDrop.
O Google não quis comentar sobre vítimas específicas.
O porta-voz da CrowdStrike, Kevin Benacci, disse ao TechCrunch em um comunicado que a empresa “não foi afetada pelo problema da Gainsight e todos os dados do cliente permanecem seguros”. CrowdStrike disse que demitiu um “insider suspeito” por supostamente passar informações a hackers.
O TechCrunch entrou em contato com todas as empresas mencionadas por Scattered Lapsus$ Hunters. Um porta-voz da Verizon acusou o recebimento de nosso e-mail.
A porta-voz da Malwarebytes, Ashley Stewart, disse ao TechCrunch que a equipe de segurança da empresa está “ciente” dos problemas da Gainsight e do Salesforce e está “investigando ativamente o assunto”.
No momento da publicação, nenhuma das outras empresas respondeu aos pedidos de comentários.
Hackers do grupo ShinyHunters disseram ao TechCrunch em um bate-papo online que obtiveram acesso ao Gainsight, graças à sua campanha de hacking anterior voltada para clientes da Salesloft, que fornece uma plataforma de marketing alimentada por IA e chatbot chamada Drift. No caso anterior, os hackers roubaram tokens de autenticação Drift desses clientes, permitindo que os hackers invadissem suas instâncias vinculadas do Salesforce e baixassem seu conteúdo.
Na época, a Gainsight confirmou que estava entre as vítimas daquela campanha de hackers.
“A Gainsight era cliente da Salesloft Drift, eles foram afetados e, portanto, totalmente comprometidos por nós”, disse ShinyHunters.
A porta-voz da Salesforce, Nicole Aranda, disse ao TechCrunch que “por uma questão de política, a Salesforce não comenta problemas específicos dos clientes”.
A Gainsight não respondeu aos pedidos de comentários do TechCrunch.
Na quinta-feira, a Salesforce disse que “não há indicação de que este problema resultou de qualquer vulnerabilidade na plataforma Salesforce”, distanciando-se efetivamente das violações de dados de seus clientes.
A Gainsight tem publicado atualizações sobre o incidente em sua página de incidentes. Na sexta-feira, a empresa disse que agora está trabalhando com a unidade de resposta a incidentes do Google, Mandiant, para ajudar a investigar a violação, que o incidente em questão “se originou da conexão externa dos aplicativos – não de qualquer problema ou vulnerabilidade dentro da plataforma Salesforce” e que “uma análise forense está continuando como parte de uma revisão abrangente e independente”.
“A Salesforce revogou temporariamente os tokens de acesso ativo para aplicativos conectados à Gainsight como medida de precaução enquanto a investigação sobre atividades incomuns continua”, de acordo com a página de incidentes da Gainsight, que dizia que a Salesforce está notificando os clientes afetados cujos dados foram roubados.
Em seu canal Telegram, a Scattered Lapsus$ Hunters disse que planeja lançar um site dedicado para extorquir as vítimas de sua última campanha na próxima semana. Este é o modus operandi do grupo; em outubro, os hackers também publicaram um site de extorsão semelhante após roubarem os dados do Salesforce da vítima no incidente Salesloft.
The Scattered Lapsus$ Hunters é um coletivo de hackers de língua inglesa composto por várias gangues cibercriminosas, incluindo ShinyHunters, Scattered Spider e Lapsus$, cujos membros usam táticas de engenharia social para enganar os funcionários da empresa para que concedam aos hackers acesso aos seus sistemas ou bancos de dados. Nos últimos anos, esses grupos fizeram várias vítimas importantes, como MGM Resorts, Coinbase, DoorDash e muito mais.
