گوگل تایید کرده است که هکرها در یک حمله زنجیره تامین در مقیاس بزرگ، اطلاعات بیش از ۲۰۰ شرکت را که در Salesforce ذخیره شده بود، سرقت کرده‌اند.

روز پنجشنبه، Salesforce از نفوذ به «داده‌های برخی از مشتریان Salesforce» خبر داد – بدون نام بردن از شرکت‌های تحت تاثیر قرار گرفته – که از طریق برنامه‌های منتشر شده توسط Gainsight، که پلتفرم پشتیبانی مشتری را به شرکت‌های دیگر ارائه می‌دهد، به سرقت رفته بود.

آستین لارسن، تحلیلگر ارشد تهدیدات در گروه اطلاعات تهدیدات گوگل، در بیانیه‌ای گفت که این شرکت «از بیش از ۲۰۰ نمونه Salesforce که به طور بالقوه تحت تاثیر قرار گرفته‌اند، آگاه است.»

پس از اعلام نفوذ توسط Salesforce، گروه هکری بدنام و تا حدودی مبهم معروف به Scattered Lapsus$ Hunters، که شامل گروه ShinyHunters نیز می‌شود، در کانال تلگرامی خود که TechCrunch آن را مشاهده کرده است، مسئولیت این هک‌ها را بر عهده گرفت.

این گروه هکری مسئولیت هک‌هایی را که بر Atlassian، CrowdStrike، Docusign، F5، GitLab، Linkedin، Malwarebytes، SonicWall، Thomson Reuters و Verizon تاثیر گذاشته بود، بر عهده گرفت.

با ما تماس بگیرید

آیا اطلاعات بیشتری در مورد این نفوذهای داده Salesforce و Gainsight دارید؟ یا نفوذهای داده دیگر؟ از یک دستگاه غیرکاری، می‌توانید با Lorenzo Franceschi-Bicchierai به صورت امن در Signal به شماره +1 917 257 1382، یا از طریق تلگرام و Keybase @lorenzofb، یا ایمیل. تماس بگیرید.

گوگل در مورد قربانیان خاص اظهار نظر نکرد.

کوین بناچی، سخنگوی CrowdStrike، در بیانیه‌ای به TechCrunch گفت که این شرکت «تحت تاثیر مشکل Gainsight قرار نگرفته است و تمام داده‌های مشتریان امن باقی مانده‌اند.» CrowdStrike به TechCrunch تایید کرد که یک «کارمند داخلی مشکوک» را اخراج کرده است که ظاهراً اطلاعاتی را به هکرها منتقل می‌کرده است.

TechCrunch با تمام شرکت‌های ذکر شده توسط Scattered Lapsus$ Hunters تماس گرفت.

کوین اسرائیل، سخنگوی Verizon، در بیانیه‌ای گفت که «Verizon از ادعای بی‌اساس عامل تهدید آگاه است»، بدون اینکه مدرکی برای این ادعا ارائه دهد.

اشلی استوارت، سخنگوی Malwarebytes، به TechCrunch گفت که تیم امنیتی این شرکت «از مسائل Gainsight و Salesforce آگاه است» و «در حال بررسی موضوع است.»

سخنگوی Thomson Reuters گفت که این شرکت «در حال بررسی فعالانه است.»

مایکل آدامز، مدیر ارشد امنیت اطلاعات در Docusign، در بیانیه‌ای به TechCrunch گفت که «پس از تجزیه و تحلیل جامع گزارش‌ها و تحقیقات داخلی، در حال حاضر هیچ نشانه‌ای از به خطر افتادن داده‌های Docusign نداریم.» با این حال، آدامز گفت که «به عنوان یک اقدام احتیاطی، ما تعدادی اقدام انجام داده‌ایم، از جمله خاتمه دادن به تمام ادغام‌های Gainsight و مهار جریان‌های داده مرتبط.»

در زمان انتشار، هیچ یک از شرکت‌های دیگر به درخواست‌های اظهار نظر پاسخ ندادند.

هکرهای گروه ShinyHunters در یک چت آنلاین به TechCrunch گفتند که به دلیل کمپین هک قبلی خود که مشتریان Salesloft را هدف قرار داده بود، به Gainsight دسترسی پیدا کردند. Salesloft یک پلتفرم بازاریابی مبتنی بر هوش مصنوعی و چت‌بات به نام Drift را ارائه می‌دهد. در آن مورد قبلی، هکرها توکن‌های احراز هویت Drift را از آن مشتریان سرقت کردند و به هکرها اجازه دادند تا به نمونه‌های Salesforce مرتبط آنها نفوذ کرده و محتویات آنها را دانلود کنند.

در آن زمان، Gainsight تایید کرد که یکی از قربانیان آن کمپین هک بوده است.

سخنگوی گروه ShinyHunters به TechCrunch گفت: «Gainsight یکی از مشتریان Salesloft Drift بود، آنها تحت تاثیر قرار گرفتند و بنابراین به طور کامل توسط ما به خطر افتادند.»

نیکول آراند، سخنگوی Salesforce، به TechCrunch گفت که «طبق سیاست، Salesforce در مورد مسائل خاص مشتریان اظهار نظر نمی‌کند.»

Gainsight به درخواست‌های TechCrunch برای اظهار نظر پاسخ نداد.

روز پنجشنبه، Salesforce اعلام کرد که «هیچ نشانه‌ای مبنی بر اینکه این مشکل ناشی از آسیب‌پذیری در پلتفرم Salesforce بوده است، وجود ندارد»، و به طور موثر خود را از نشت داده‌های مشتریانش دور کرد.

Gainsight به‌روزرسانی‌هایی در مورد این حادثه در صفحه حوادث خود منتشر کرده است. روز جمعه، این شرکت اعلام کرد که در حال حاضر با واحد پاسخ به حوادث گوگل، Mandiant، برای کمک به تحقیق در مورد این نفوذ همکاری می‌کند، که این حادثه «از اتصال خارجی برنامه‌ها نشأت گرفته است – نه از هیچ مشکل یا آسیب‌پذیری در پلتفرم Salesforce» و «تجزیه و تحلیل پزشکی قانونی به عنوان بخشی از یک بررسی جامع و مستقل ادامه دارد.»

بر اساس صفحه حوادث Gainsight، «Salesforce به عنوان یک اقدام احتیاطی، توکن‌های دسترسی فعال برای برنامه‌های متصل به Gainsight را موقتاً باطل کرده است، در حالی که تحقیقات آنها در مورد فعالیت غیرعادی ادامه دارد.» این صفحه همچنین اعلام کرد که Salesforce در حال اطلاع‌رسانی به مشتریان تحت تاثیر قرار گرفته‌ای است که داده‌هایشان به سرقت رفته است.

Scattered Lapsus$ Hunters در کانال تلگرامی خود اعلام کرد که قصد دارد تا هفته آینده یک وب‌سایت اختصاصی برای اخاذی از قربانیان آخرین کمپین خود راه‌اندازی کند. این روش کاری این گروه است؛ در ماه اکتبر، هکرها نیز پس از سرقت داده‌های Salesforce قربانیان در حادثه Salesloft، وب‌سایت اخاذی مشابهی را منتشر کردند.

Scattered Lapsus$ Hunters مجموعه‌ای از هکرهای انگلیسی‌زبان است که از چندین گروه جنایتکار سایبری تشکیل شده است، از جمله ShinyHunters، Scattered Spider و Lapsus$، که اعضای آن از تاکتیک‌های مهندسی اجتماعی برای فریب دادن کارمندان شرکت‌ها و وادار کردن آنها به دادن دسترسی هکرها به سیستم‌ها یا پایگاه‌های داده‌شان استفاده می‌کنند. در چند سال اخیر، این گروه‌ها قربانیان متعددی در سطح بالا مانند MGM Resorts، Coinbase، DoorDash و غیره را ادعا کرده‌اند.

این داستان برای گنجاندن اظهارات Docusign، Thomson Reuters و Verizon به‌روزرسانی شد.