Caçadores de Tecnologia Mantenha-se atualizado com as últimas novidades tecnológicas! Análises, tutoriais e lançamentos de celulares, TVs e mais. Junte-se aos Caçadores de Tecnologia!
O Google confirmou que hackers roubaram dados armazenados no Salesforce de mais de 200 empresas em um grande ataque de cadeia de suprimentos.
Na quinta-feira, a Salesforce divulgou uma violação de ‘dados do Salesforce de determinados clientes’ – sem nomear as empresas afetadas – que foram roubados por meio de aplicativos publicados pela Gainsight, que fornece uma plataforma de suporte ao cliente para outras empresas.
Em um comunicado, Austin Larsen, analista de ameaças principal do Google Threat Intelligence Group, disse que a empresa ‘está ciente de mais de 200 instâncias do Salesforce potencialmente afetadas’.
Após o anúncio da Salesforce, o notório e um tanto nebuloso grupo de hackers conhecido como Scattered Lapsus$ Hunters, que inclui a gangue ShinyHunters, reivindicou a responsabilidade pelos ataques em um canal do Telegram, que o TechCrunch viu.
O grupo de hackers reivindicou a responsabilidade por ataques que afetaram Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters e Verizon.
O Google não comentaria sobre vítimas específicas.
O porta-voz da CrowdStrike, Kevin Benacci, disse ao TechCrunch em um comunicado que a empresa ‘não é afetada pelo problema da Gainsight e todos os dados dos clientes permanecem seguros’. A CrowdStrike confirmou ao TechCrunch que demitiu um ‘insider suspeito’ por supostamente repassar informações para hackers.
O TechCrunch entrou em contato com todas as empresas mencionadas pelos Scattered Lapsus$ Hunters.
O porta-voz da Verizon, Kevin Israel, disse em um comunicado que ‘a Verizon está ciente da alegação não fundamentada pelo agente de ameaças’, sem fornecer evidências para essa afirmação.
A porta-voz da Malwarebytes, Ashley Stewart, disse ao TechCrunch que a equipe de segurança da empresa está ‘ciente’ dos problemas da Gainsight e da Salesforce e ‘investigando ativamente o assunto’.
Um porta-voz da Thomson Reuters disse que a empresa está ‘investigando ativamente’.
Michael Adams, diretor de segurança da informação da Docusign, disse ao TechCrunch em um comunicado que ‘após uma análise abrangente de logs e uma investigação interna, não temos nenhuma indicação de comprometimento de dados da Docusign neste momento’. No entanto, Adams disse que, ‘por precaução, tomamos uma série de medidas, incluindo o encerramento de todas as integrações da Gainsight e a contenção dos fluxos de dados relacionados’.
Na época da publicação, nenhuma das outras empresas respondeu aos pedidos de comentário.
Hackers do grupo ShinyHunters disseram ao TechCrunch em um chat online que obtiveram acesso à Gainsight graças à sua campanha de hacking anterior que visava clientes da Salesloft, que fornece uma plataforma de marketing com tecnologia de IA e chatbot chamada Drift. Naquele caso anterior, os hackers roubaram tokens de autenticação do Drift desses clientes, permitindo que os hackers invadissem suas instâncias vinculadas do Salesforce e baixassem seus conteúdos.
Na época, a Gainsight confirmou que estava entre as vítimas dessa campanha de hacking.
‘A Gainsight era cliente da Salesloft Drift, eles foram afetados e, portanto, totalmente comprometidos por nós’, disse um porta-voz do grupo ShinyHunters ao TechCrunch.
A porta-voz da Salesforce, Nicole Aranda, disse ao TechCrunch que ‘como questão de política, a Salesforce não comenta sobre questões específicas de clientes’.
A Gainsight não respondeu aos pedidos de comentário do TechCrunch.
Na quinta-feira, a Salesforce disse que ‘não há indicação de que esse problema resultou de qualquer vulnerabilidade na plataforma Salesforce’, distanciando-se efetivamente das violações de dados de seus clientes.
A Gainsight tem publicado atualizações sobre o incidente em sua página de incidentes. Na sexta-feira, a empresa disse que agora está trabalhando com a unidade de resposta a incidentes do Google, a Mandiant, para ajudar a investigar a violação, que o incidente em questão ‘teve origem na conexão externa dos aplicativos – e não em qualquer problema ou vulnerabilidade dentro da plataforma Salesforce’, e que ‘uma análise forense continua como parte de uma revisão abrangente e independente’.
‘A Salesforce revogou temporariamente os tokens de acesso ativos para aplicativos conectados à Gainsight como uma medida preventiva enquanto sua investigação sobre atividade incomum continua’, de acordo com a página de incidentes da Gainsight, que disse que a Salesforce está notificando os clientes afetados cujos dados foram roubados.
Em seu canal no Telegram, o Scattered Lapsus$ Hunters disse que planeja lançar um site dedicado para extorquir as vítimas de sua mais recente campanha até a próxima semana. Este é o modus operandi do grupo; em outubro, os hackers também publicaram um site de extorsão semelhante após roubar dados do Salesforce das vítimas no incidente da Salesloft.
O Scattered Lapsus$ Hunters é um coletivo de hackers de língua inglesa composto por várias gangues cibercriminosas, incluindo ShinyHunters, Scattered Spider e Lapsus$, cujos membros usam táticas de engenharia social para enganar os funcionários da empresa e conceder aos hackers acesso aos seus sistemas ou bancos de dados. Nos últimos anos, esses grupos reivindicaram várias vítimas de alto perfil, como MGM Resorts, Coinbase, DoorDash e outras.
