Хакеры проникли в системы Gainsight и выкачали конфиденциальную информацию из сотен корпоративных аккаунтов Salesforce
Изображение: recraft
Группа киберпреступников под названием Scattered Lapsus$ Hunters сумела пробраться в инфраструктуру Gainsight – сервиса для управления клиентскими отношениями, тесно связанного с платформой Salesforce. По предварительным оценкам, под угрозой оказались сведения из более 200 бизнес-аккаунтов, в т. ч. контакты, лицензии и детали поддержки. Журналисты TechCrunch первыми сообщили об этом, опираясь на выводы специалистов из Google Threat Intelligence Group, которые подсчитали потенциально скомпрометированные инстансы Salesforce.
Сама атака развивалась поэтапно, словно сценарий из нуарного триллера о цифровых тенях. Сначала хакеры взяли на прицел Salesloft – провайдера инструментов для автоматизации маркетинга, включая чат-боты на базе искусственного интеллекта под брендом Drift. Там они перехватили ключи авторизации, которые открыли двери в связанные системы.
Оттуда путь лежал прямиком к Gainsight, а через её приложения – в корпоративные хранилища Salesforce, где компании хранят всё, от имён менеджеров до историй обращений в службу поддержки. Представители Scattered Lapsus$ Hunters, объединившие в себе элементы банд ShinyHunters, Scattered Spider и Lapsus$, сами похвастались в Telegram-канале, что добыли материалы от Atlassian, CrowdStrike, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters и Verizon. Это не случайный грабёж, а целенаправленный рейд по цепочке поставок, где слабое звено тянет за собой целую сеть.
В компании Gainsight не стали отрицать случившееся и сразу подключили к разбору полётов экспертов из Google Mandiant – подразделения, которое специализируется на расследованиях инцидентов. Они подтвердили, что проблема возникла именно из-за внешних подключений приложений, а не из-за дыр в самой Salesforce.
В качестве превентивного шага, платформа временно заблокировала все активные токены доступа для инструментов Gainsight, чтобы остановить возможный отток данных. Кроме того, Gainsight отключила интеграции с другими сервисами вроде Hubspot и Zendesk, просто на всякий случай. Представители Gainsight отметили в обновлении на своём сайте, что продолжают сотрудничество с Salesforce и изучают технические индикаторы, чтобы понять полный масштаб ущерба.
Сторона Salesforce отреагировала сдержанно, подчеркнув, что их основная инфраструктура осталась нетронутой. В официальном уведомлении они заявили, что не обсуждают детали по отдельным клиентам и не находят следов взлома в собственной платформе.
