Google ha admitido que los piratas informáticos robaron los datos de más de 200 empresas almacenados en Salesforce en un hackeo masivo de la cadena de suministro.
Salesforce dijo el jueves que «los datos de Salesforce de ciertos clientes» se habían visto comprometidos, aunque no nombró a las empresas afectadas. Los datos fueron robados a través de una aplicación publicada por Gainsight, que proporciona una plataforma de atención al cliente para otras empresas.
Austin Larsen, analista principal de amenazas de Google Threat Intelligence Group, dijo en un comunicado que la compañía está «consciente de más de 200 instancias de Salesforce que pueden verse afectadas».
Después de que Salesforce anunciara la infracción, un grupo de hackers notorio y algo oscuro conocido como Scattered Lapsus$ Hunters (que también incluye a la pandilla ShinyHunters) se atribuyó la responsabilidad del hack en su canal de Telegram, del que TechCrunch fue testigo.
El grupo de piratas informáticos se atribuyó la responsabilidad de los ataques que afectaron a Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters y Verizon.
consulta
¿Tiene más información sobre estas violaciones de datos de Salesforce y Gainsight? ¿O alguna otra violación de datos? Puede contactar a Lorenzo Franceschi-Bicchierai de forma segura desde un dispositivo que no sea del trabajo en Signal (+1 917 257 1382) o en Telegram y Keybase @lorenzofb o por correo electrónico.
Google no hará comentarios sobre víctimas específicas.
El portavoz de CrowdStrike, Kevin Benacci, dijo a TechCrunch en un comunicado que la empresa «no se ve afectada por el problema de Gainsight y todos los datos de los clientes permanecen seguros». CrowdStrike confirmó a TechCrunch que despidió a un «información privilegiada sospechosa» que supuestamente pasó información a los piratas informáticos.
TechCrunch contactó a todas las empresas mencionadas por Scattered Lapsus$ Hunters.
El portavoz de Verizon, Kevin Israel, dijo en un comunicado que «Verizon está al tanto de las afirmaciones sin fundamento hechas por los actores de amenazas», pero no proporcionó pruebas de las afirmaciones.
La portavoz de Malwarebytes, Ashley Stewart, dijo a TechCrunch que el equipo de seguridad de la compañía está «consciente» del problema con Gainsight y Salesforce y está «investigando activamente el problema».
Una portavoz de Thomson Reuters dijo que la empresa estaba «investigando activamente» el asunto.
Michael Adams, director de seguridad de la información de Docusign, dijo a TechCrunch en un comunicado: «Tras un análisis de registros exhaustivo y una investigación interna, actualmente no hay indicios de una violación de datos en Docusign». Sin embargo, Adams dijo: «Por precaución, hemos tomado una serie de medidas, incluida la finalización de todas las integraciones de Gainsight y la contención de los flujos de datos relacionados».
Al momento de la publicación, las otras compañías no habían respondido a las solicitudes de comentarios.
Los piratas informáticos del grupo ShinyHunters dijeron a TechCrunch en un chat en línea que obtuvieron acceso a Gainsight gracias a una campaña de piratería anterior dirigida a clientes de Salesloft, una plataforma de marketing impulsada por inteligencia artificial y chatbot llamada Drift. En casos anteriores, los piratas informáticos robaron tokens de autenticación de Drift de esos clientes, lo que les permitió comprometer la instancia de Salesforce vinculada y descargar su contenido.
En ese momento, Gainsight reconoció que fue una de las víctimas de su campaña de piratería.
«Gainsight era cliente de Salesloft Drift, pero se vio afectado y, por lo tanto, completamente comprometido por nosotros», dijo un portavoz del grupo ShinyHunters a TechCrunch.
«Como cuestión de política, Salesforce no comenta sobre problemas específicos de los clientes», dijo a TechCrunch la portavoz de Salesforce, Nicole Aranda.
Gainsight no respondió a la solicitud de comentarios de TechCrunch.
El jueves, Salesforce se distanció efectivamente de la violación de datos de los clientes, diciendo que «no hay indicios de que este problema se deba a una vulnerabilidad en la plataforma Salesforce».
Gainsight proporciona información actualizada sobre incidentes en nuestra página de Incidentes. El viernes, la compañía anunció que actualmente está trabajando con Mandiant, el brazo de respuesta a incidentes de Google, para ayudar a investigar la violación, que el incidente en cuestión «fue el resultado de la conectividad externa de la aplicación, y no de ningún problema o vulnerabilidad dentro de la plataforma Salesforce», y que «el análisis forense está en curso como parte de una revisión integral e independiente».
«Salesforce ha revocado temporalmente los tokens de acceso activo para las aplicaciones conectadas a Gainsight como medida de precaución mientras continúa la investigación sobre actividad anómala», según la página del incidente de Gainsight, que decía que Salesforce está notificando a los clientes afectados cuyos datos fueron robados.
Los Scattered Rapsusdor Hunters dijeron en su canal de Telegram que planean lanzar la próxima semana un sitio web dedicado a chantajear a las víctimas de la última campaña. Éste es el modus operandi del grupo. En octubre, los piratas informáticos lanzaron un sitio web de extorsión similar después de robar los datos de Salesforce de las víctimas en el escándalo Salesloft.
Scattered Lapsus$ Hunters es un colectivo de hackers de habla inglesa compuesto por varias organizaciones cibercriminales, incluidas ShinyHunters, Scattered Spider y Lapsus$, cuyos miembros utilizan tácticas de ingeniería social para engañar a los empleados de la empresa para que permitan a los hackers acceder a sus sistemas y bases de datos. En los últimos años, estos grupos han matado a varias víctimas de alto perfil, incluidos MGM Resorts, Coinbase y DoorDash.
Este artículo se actualizó con comentarios de Docusign, Thomson Reuters y Verizon.
Source link
