Hackers robaron datos de 200 empresas debido a una brecha de Gainsight: Google confirma un ataque masivo
Los hackers robaron datos de más de 200 empresas almacenadas en Salesforce, anunció Google después de liberar información sobre el incidente con la plataforma Gainsight. Esta fuga se convirtió en parte de un ataque masivo a la cadena de suministro, que afectó a varias empresas conocidas.
Lo que se sabe
Según el analista de inteligencia de amenazas de Google, Austin Larsen, se vieron afectadas más de 200 instancias de Salesforce. Salesforce confirmó la violación de 'datos de clientes individuales', pero no nombró empresas específicas. Se sabe que la fuga ocurrió debido a aplicaciones de terceros de Gainsight para servicio al cliente. Gainsight anteriormente utilizaba herramientas de Salesloft Drift, a través de las cuales los atacantes obtuvieron acceso a tokens de autenticación.
La responsabilidad del ataque fue asumida por el grupo Scattered Lapsus$ Hunters, asociado con los grupos hackers ShinyHunters, Lapsus$ y Scattered Spider. En su canal de Telegram, se afirma que el ataque afectó a varias empresas importantes: Atlassian, Docusign, GitLab, CrowdStrike, Malwarebytes, SonicWall, Thomson Reuters, Verizon, entre otras.
CrowdStrike aseguró que sus datos no se vieron afectados, aunque despidió a un sospechoso interno. Docusign informó que no detectaron ninguna vulneración, pero deshabilitaron todas las integraciones de Gainsight como medida de seguridad. Thomson Reuters, Malwarebytes y Verizon confirmaron que están investigando la situación.
Gainsight, a su vez, declaró que el incidente no está relacionado con una vulnerabilidad en la plataforma Salesforce, sino que fue causado por una integración externa. Actualmente, está cooperando con Google Mandiant para un análisis independiente, y Salesforce ha revocado temporalmente los Tokens activos de las aplicaciones Gainsight.
Scattered Lapsus$ Hunters anunció el lanzamiento de un sitio web para la próxima semana para chantajear a sus víctimas.
Fuente: TechCrunch