Хакеры украли данные более 200 компаний атакой на Gainsight

Участники объединённой хакерской группировки Scattered Lapsus$ Hunters получили несанкционированный доступ к приложению Gainsight, интегрируемому с CRM-платформой Salesforce, что потенциально открыло им доступ к данным более чем 200 корпоративных клиентов.

Об этом сообщает TechCrunch со ссылкой на аналитиков Google Threat Intelligence Group.

По утверждению самих злоумышленников, им удалось похитить данные таких компаний, как Atlassian, CrowdStrike, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters и Verizon. Атака носила многоэтапный характер: первоначально была скомпрометирована инфраструктура Salesloft — поставщика маркетинговой платформы Drift, используемой для чат-ботов и ИИ-функций. Получив токены авторизации, злоумышленники смогли перейти к доступу к данным Gainsight, а через них — к связанным инстансам Salesforce, которые используются компаниями для поддержки клиентов.

Компания Gainsight подтвердила инцидент и сообщила о привлечении специалистов Google Mandiant для проведения расследования. В качестве превентивной меры Salesforce временно отозвала активные токены доступа у приложений, подключенных через Gainsight, на фоне выявленной аномальной активности.

В Salesforce, в свою очередь, заявили, что не комментируют конкретные случаи клиентов и не обнаружили признаков эксплуатации уязвимостей самой платформы.

Ряд компаний, упомянутых хакерами, заявили об отсутствии подтверждений утечки данных. В CrowdStrike сообщили, что инцидент не затронул инфраструктуру компании и данные клиентов остаются в безопасности, однако подтвердили увольнение сотрудника, подозреваемого в возможной передаче информации третьим лицам. Verizon назвала заявления злоумышленников необоснованными. В Malwarebytes и Thomson Reuters сообщили о начале внутренних проверок, а DocuSign заявила, что, несмотря на отсутствие доказательств компрометации, в превентивных целях временно отключила интеграции с Gainsight и связанные потоки данных.