Google confirmo que un grupo de hackers accedio y extrajo datos almacenados en Salesforce pertenecientes a mas de 200 empresas, en un incidente que tuvo su origen en aplicaciones de la plataforma Gainsight.
El ataque, de alcance internacional, fue atribuido por los responsables a Scattered Lapsus$ Hunters, un colectivo que incluye a la banda ShinyHunters, y ha generado alarma entre grandes empresas y especialistas en ciberseguridad.
La empresa informo del alcance a traves de su Grupo de Inteligencia de Amenazas. Austin Larsen, analista principal, declaro a The Register que Google “tiene conocimiento de mas de 200 instancias de Salesforce potencialmente afectadas”.
Salesforce comunico que hubo una brecha que comprometio datos de “ciertos clientes”, pero no identifico publicamente a las empresas afectadas. Este incidente se inscribe en una serie de ataques recientes contra la cadena de suministro digital de grandes organizaciones.
Segun las investigaciones, el acceso no autorizado se produjo via aplicaciones desarrolladas por Gainsight, una plataforma de soporte al cliente integrada con Salesforce. Gainsight senala en su pagina de incidentes que la intrusion se origino en conexiones externas a sus aplicaciones y no en una falla del nucleo de Salesforce.
Gainsight explico que “el incidente se origino en la conexion externa de las aplicaciones, no en ninguna vulnerabilidad dentro de la plataforma de Salesforce” y que continua una investigacion forense independiente y exhaustiva.
ShinyHunters detallo a TechCrunch que obtuvo acceso a Gainsight tras una campana previa contra clientes de Salesloft, proveedor relacionado con la plataforma Drift. En esa operacion los atacantes habrian robado tokens de autenticacion de Drift, lo que les permitio entrar en instancias vinculadas de Salesforce y descargar datos.
Un portavoz vinculado a ShinyHunters afirmo que, al ser Gainsight cliente de Salesloft/Drift, quedo comprometido en esa cadena de accesos.
En su canal de Telegram, Scattered Lapsus$ Hunters afirmo haber accedido a datos de empresas como Atlassian, CrowdStrike, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters y Verizon. Varias de esas companias han negado o estan investigando las alegaciones.
CrowdStrike, mediante su portavoz Kevin Benacci, declaro que “no esta afectada por el incidente de Gainsight y todos los datos de los clientes permanecen seguros”. La compania tambien indico que desvinculo a un colaborador sospechoso por presunta filtracion de informacion.
Verizon, a traves de su portavoz Kevin Israel, senalo que esta al tanto de la afirmacion del actor de amenazas y la considera no fundamentada, sin aportar mas pruebas hasta el momento.
DocuSign indico, por medio de su director de seguridad de la informacion Michael Adams, que tras revisar registros e investigar internamente no encuentran indicios de compromiso de sus datos por ahora.
No obstante, DocuSign tomo medidas preventivas, como desconectar todas las integraciones con Gainsight y contener los flujos de datos relacionados. Malwarebytes y Thomson Reuters informaron que sus equipos de seguridad investigan el incidente. Otras empresas citadas no respondieron antes del cierre de la nota.
Gainsight informo que colabora con Mandiant, la unidad de respuesta a incidentes propiedad de Google, para aclarar el alcance de la brecha y reforzar la seguridad de sus integraciones externas.
Scattered Lapsus$ Hunters es un colectivo de habla inglesa que agrupa a bandas como ShinyHunters, Scattered Spider y Lapsus$. Sus miembros suelen usar ingenieria social para enganar a empleados y obtener accesos a sistemas corporativos.
El grupo ha reivindicado ataques contra objetivos de alto perfil en los ultimos anos, incluidos MGM Resorts, Coinbase y DoorDash, y suele presionar a las victimas mediante extorsion publica en sitios dedicados. En su canal de Telegram anunciaron la preparacion de una pagina web destinada a ejercer presion sobre las victimas de esta campana.
