Berichten zufolge hat das in Texas ansässige amerikanische Cybersicherheitsunternehmen CrowdStrike einen Mitarbeiter entlassen, der beschuldigt wird, interne Informationen an eine Cyberkriminellen-Gruppe weitergegeben zu haben, die sich kürzlich zu Unternehmensangriffen auf mit Salesforce verbundene Systeme bekannt hat.
Das Sicherheitsunternehmen entließ den „Insider“, nachdem es herausgefunden hatte, dass dieser mit der Gruppe Scattered Lapsus$ Hunters zusammenarbeitete, die am späten Donnerstag und Freitagmorgen auf ihrem Telegram-Kanal angeblich interne Screenshots veröffentlichte.
Scattered Lapsus$ veröffentlichte mehrere Screenshots von Dashboards, die mit Unternehmensressourcen verknüpft sind, darunter Okta-Panels, die Mitarbeiter für den Zugriff auf interne Anwendungen nutzen. Die Hacker behaupteten, die Screenshots stammten von dem kompromittierten Mitarbeiter und seien Beweis dafür, dass sie nach dem Hack von Gainsight Anfang der Woche erfolgreich in CrowdStrike eingedrungen waren.
CrowdStrike und Gainsight untersuchen weiterhin den Diebstahl von Informationen.
Laut CrowdStrike stammten die Behauptungen der Hackergruppe und die Bilder auf Telegram ausschließlich von einem Mitarbeiter, der unautorisierte Fotos seines Bildschirms mit Dritten geteilt hatte. CrowdStrike beteuert, dass es keine Sicherheitslücken in seinen Systemen gegeben habe.
„Unsere Systeme wurden zu keinem Zeitpunkt kompromittiert und unsere Kunden waren jederzeit geschützt“, erklärte Sprecher Kevin Benacci gegenüber dem Nachrichtenportal TechCrunch. Er fügte hinzu, dass das Unternehmen den Fall nach der Sperrung des Insider-Zugangs an die zuständigen Strafverfolgungsbehörden übergeben habe.
CrowdStrike behauptete, den Schreibtisch des Mitarbeiters sofort nach Bestätigung der Tatsache, dass er „Bilder seines Computerbildschirms nach außen geteilt“ hatte, gepackt zu haben, und die in Hackerkanälen kursierenden Behauptungen seien „falsch“.
Salesforce bestätigt Datenschutzverletzung
Am Freitagmorgen aktualisierte Salesforce seinedent teilte mit, dass eine Sicherheitslücke einige Kunden beeinträchtige und zu „Verbindungsfehlern“ führe. Unbefugte Akteure hätten auf „bestimmte Kundendaten bei Salesforce“ zugegriffen, ohne jedochdent, welche Organisationen betroffen seien.
Salesforce gab an, dass der Einbruch über Anwendungen des Kundensupport- und Analysedienstleisters Gainsight erfolgte.
Später am Tag erklärte Austin Larsen von der Threat Intelligence Group von Google, ein leitender Bedrohungsanalyst in der Cybersicherheitsabteilung, dass dem Unternehmen „mehr als 200 potenziell betroffene Salesforce-Instanzen bekannt sind“.
Scattered Lapsus$ Hunters bekannte sich öffentlich dazu, über Gainsights Integrationen auf Daten zugegriffen zu haben und die gestohlenen Informationen genutzt zu haben, um andere Firmenkunden ins Visier zu nehmen.
Ein Sprecher von ShinyHunters, einer der Gruppen innerhalb des Kollektivs, prahlte damit, dass „Gainsight ein Kunde von Salesloft Drift war, sie waren betroffen und wurden daher vollständig von uns kompromittiert.“
Gainsight veröffentlicht seit Bekanntwerden des Angriffs regelmäßig Updates auf seinerdent Vorfall. Am Freitag gab das Unternehmen bekannt, Mandiant, die Abteilung für die Reaktion aufdent von Google, mit der Untersuchung des Vorfalls beauftragt zu haben.
Salesforce hat vorsorglich auch die aktiven Zugriffstoken für mit Gainsight verbundene Apps vorübergehend widerrufen und Kunden, deren Daten gestohlen wurden, benachrichtigt, wie aus den öffentlichen Mitteilungen des Unternehmens hervorgeht.
„HubSpot-Nutzer werden möglicherweise feststellen, dass die Gainsight-App vorsorglich vorübergehend aus dem HubSpot Marketplace entfernt wurde. Dies kann sich während der Überprüfung auch auf den OAuth-Zugriff für Kundenverbindungen auswirken. Wir werden nach einer gründlichen Überprüfung mit HubSpot an der Wiedereinführung arbeiten“, hieß es in einem am Donnerstag veröffentlichten Fortschrittsbericht.
Die Scattered Lapsus$-Familie ist für mehrere aufsehenerregende Datenschutzverletzungen verantwortlich.
Scattered Lapsus$ Hunters ist ein Zusammenschluss mehrerer englischsprachiger Cyberkriminellengruppen, darunter ShinyHunters, Scattered Spider und Lapsus$. Das Kollektiv erlangte Bekanntheit durch den Einsatz von Social-Engineering-Techniken, mit denen Mitarbeiter dazu verleitet wurden, Zugangsdaten preiszugeben, Fernzugriff zu gewähren oder Authentifizierungsabfragen zu bestätigen.
In ihrer Liste der „Eroberungen“ hat die Gruppe zuvor MGM Resorts, Coinbase, DoorDash, Workday, Aflac Insurance und andere große Unternehmen ins Visier genommen. Bereits im Oktober behauptete Scattered Lapsus$ Hunters, mehr als eine Milliarde Datensätze von Unternehmen gestohlen zu haben, die Salesforce zur Verwaltung von Kundendaten nutzen.
Sie veröffentlichten ein durchgesickertes Verzeichnis mit Daten des Versicherers Allianz Life, der Fluggesellschaft Qantas, des Automobilherstellers Stellantis, von TransUnion, der Mitarbeitermanagement-Plattform Workday und weiterer Unternehmen.
In den letzten anderthalb Jahren hat die Scattered Lapsus$-Familie auch die Verantwortung fürdentbei Atlassian, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters und Verizon übernommen.
Die Hacker gaben auf ihrem Telegram-Kanal bekannt, dass sie planen, nächste Woche eine neue Erpressungswebsite für die Unternehmen zu starten, die bei ihrer jüngsten Operation betroffen waren.
„Die nächste Website, auf der Daten geleakt werden, wird die Daten der Salesloft- und GainSight-Kampagnen enthalten“, teilten die Hacker DataBreaches.net ihre Pläne mit.
