Google ha confirmado que los piratas informáticos robaron datos almacenados en Salesforce de más de 200 empresas como parte de un pirateo a gran escala de la cadena de suministro.
El jueves, Salesforce anunció una violación de “datos de Salesforce de ciertos clientes” -sin nombrar a las empresas afectadas- que fueron robados a través de aplicaciones publicadas por Gainsight, una empresa que proporciona una plataforma de atención al cliente a otras empresas.
En un comunicado, Austin Larsen, analista principal de amenazas de Google Threat Intelligence Group, dijo que la compañía está “consciente de más de 200 instancias de Salesforce potencialmente afectadas”.
Después de que Salesforce anunciara la violación, el infame y algo nebuloso grupo de piratería Scattered Lapsus$ Hunters, que incluye a la pandilla ShinyHunters, se atribuyó la responsabilidad de los ataques en un canal de Telegram visto por TechCrunch.
El grupo de hackers se atribuyó la responsabilidad de los hacks que afectaron a Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters y Verizon.
Contáctenos
¿Tiene más información sobre estas violaciones de datos en Salesforce y Gainsight? ¿U otras violaciones de datos? Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, en Telegram y Keybase @lorenzofb, o por correo electrónico. También puede ponerse en contacto con TechCrunch a través de SecureDrop.
Google no hizo comentarios sobre víctimas específicas.
El portavoz de CrowdStrike, Kevin Benacci, dijo a TechCrunch en un comunicado que la empresa “no se ve afectada por el problema de Gainsight y todos los datos de los clientes permanecen seguros”. CrowdStrike dijo que despidió a un “presunto interno” por supuestamente filtrar información a piratas informáticos.
TechCrunch se ha comunicado con todas las empresas mencionadas por Scattered Lapsus$ Hunters. Un portavoz de Verizon confirmó la recepción de nuestro correo electrónico.
La portavoz de Malwarebytes, Ashley Stewart, dijo a TechCrunch que el equipo de seguridad de la empresa está “consciente” de los problemas de Gainsight y Salesforce y está “investigando activamente el asunto”.
En el momento de la publicación, ninguna de las otras empresas respondió a las solicitudes de comentarios.
Los piratas informáticos del grupo ShinyHunters dijeron a TechCrunch en un chat en línea que obtuvieron acceso a Gainsight gracias a su campaña de piratería anterior, dirigida a los clientes de Salesloft, que proporciona una plataforma de marketing impulsada por inteligencia artificial y chatbot llamada Drift. En este caso anterior, los piratas informáticos robaron tokens de autenticación de Drift de estos clientes, lo que les permitió ingresar a sus instancias vinculadas de Salesforce y descargar su contenido.
En ese momento, Gainsight confirmó que estaba entre las víctimas de esta campaña de piratería.
“Gainsight era cliente de Salesloft Drift, se vio afectado por nosotros y, por lo tanto, quedó completamente comprometido”, dijo ShinyHunters.
La portavoz de Salesforce, Nicole Aranda, dijo a TechCrunch que “por razones políticas, Salesforce no comenta sobre problemas específicos de los clientes”.
Gainsight no respondió a las solicitudes de comentarios de TechCrunch.
El jueves, Salesforce dijo que “no había indicios de que este problema se debiera a una vulnerabilidad en la plataforma Salesforce”, distanciándose efectivamente de las violaciones de datos de sus clientes.
Gainsight publicó actualizaciones sobre el incidente en su página de incidentes. El viernes, la compañía dijo que ahora estaba trabajando con Mandiant, la unidad de respuesta a incidentes de Google, para ayudar a investigar la violación, que el incidente en cuestión “se debió a la conexión externa de las aplicaciones – y no a un problema o vulnerabilidad dentro de la plataforma Salesforce” y que “el análisis forense continúa como parte de una revisión integral e independiente”.
“Salesforce ha revocado temporalmente los tokens de acceso activo para las aplicaciones conectadas a Gainsight como medida de precaución mientras continúa investigando actividades inusuales”, se lee en la página del incidente de Gainsight, que dice que Salesforce está notificando a los clientes afectados cuyos datos fueron robados.
En su canal Telegram, Scattered Lapsus$ Hunters dijo que planea lanzar la próxima semana un sitio web dedicado a chantajear a las víctimas de su última campaña. Este es el enfoque del grupo; En octubre, los piratas informáticos también lanzaron un sitio web de extorsión similar después de robar los datos de Salesforce de la víctima en el incidente de Salesloft.
Los Scattered Lapsus$ Hunters son un colectivo de hackers de habla inglesa formado por varias bandas de cibercriminales, entre ellas ShinyHunters, Scattered Spider y Lapsus$, cuyos miembros utilizan tácticas de ingeniería social para engañar a los empleados de la empresa para que den a los hackers acceso a sus sistemas o bases de datos. En los últimos años, estos grupos se han cobrado varias víctimas de alto perfil, incluidos MGM Resorts, Coinbase, DoorDash y más.
About The Author
