Hacker haben Daten von 200 Unternehmen aufgrund eines Gainsight-Verstoßes gestohlen: Google bestätigt massiven Angriff
Hacker haben Daten von mehr als 200 Unternehmen gestohlen, die in Salesforce gespeichert waren, gab Google bekannt, nachdem es Informationen über den Vorfall mit der Gainsight-Plattform veröffentlicht hatte. Dieses Leck wurde Teil eines massiven Angriffs auf die Lieferkette, der mehrere bekannte Unternehmen betraf.
Was bekannt ist
Nach Angaben des Google Threat Intelligence Analysten Austin Larsen waren mehr als 200 Salesforce-Instanzen betroffen. Salesforce selbst bestätigte den Verstoß gegen 'individuelle Kundendaten', nannte jedoch keine spezifischen Unternehmen. Es ist bekannt, dass das Leck aufgrund von Drittanwendungen von Gainsight für Kundenservice auftrat. Gainsight hatte zuvor Salesloft-Drift-Tools verwendet, über die Angreifer Zugriff auf Authentifizierungs-Tokens erlangten.
Die Verantwortung für den Angriff übernahm die Gruppe Scattered Lapsus$ Hunters, die mit den Hackergruppen ShinyHunters, Lapsus$ und Scattered Spider verbunden ist. Auf ihrem Telegram-Kanal wird angegeben, dass der Angriff mehrere große Unternehmen betraf: Atlassian, Docusign, GitLab, CrowdStrike, Malwarebytes, SonicWall, Thomson Reuters, Verizon und andere.
CrowdStrike versicherte, dass seine Daten nicht betroffen seien, obwohl es einen verdächtigen Insider entlassen hatte. Docusign meldete, dass sie keine Kompromittierung festgestellt hätten, aber alle Gainsight-Integrationen als Sicherheitsmaßnahme deaktiviert wurden. Thomson Reuters, Malwarebytes und Verizon bestätigten, dass sie die Situation untersuchen.
Gainsight erklärte seinerseits, dass der Vorfall nicht auf eine Schwachstelle in der Salesforce-Plattform zurückzuführen sei, sondern durch eine externe Integration verursacht wurde. Derzeit arbeitet Gainsight mit Google Mandiant für eine unabhängige Analyse zusammen, und Salesforce hat vorübergehend aktive Tokens von Gainsight-Anwendungen widerrufen.
Scattered Lapsus$ Hunters kündigten die Einführung einer Website bis nächste Woche an, um ihre Opfer zu erpressen.
Quelle: TechCrunch