La société américaine de cybersécurité CrowdStrike, basée au Texas, aurait licencié un employé accusé d'avoir divulgué des informations internes à un collectif de cybercriminels qui a récemment revendiqué la responsabilité de violations de données d'entreprises impliquant des systèmes connectés à Salesforce.
La société de sécurité a licencié l'« initié » après avoir découvert qu'il travaillait avec le groupe connu sous le nom de Scattered Lapsus$ Hunters, qui a commencé à publier de prétendues captures d'écran internes jeudi soir et vendredi matin sur sa chaîne Telegram.
Le groupe Lapsus$ a diffusé plusieurs images montrant des tableaux de bord liés aux ressources de l'entreprise, notamment des panneaux Okta utilisés par les employés pour accéder aux applications internes. Les pirates ont affirmé que ces captures d'écran provenaient d'un employé dont le système avait été compromis et prouvaient qu'ils avaient réussi à infiltrer CrowdStrike après avoir piraté Gainsight plus tôt dans la semaine.
CrowdStrike et Gainsight enquêtent toujours sur les informations volées.
Selon CrowdStrike, les affirmations du groupe de pirates informatiques et les images diffusées sur Telegram appartenaient uniquement à un employé qui avait partagé sans autorisation des photos de son écran avec des tiers, et l'entreprise insiste sur le fait qu'il n'y a eu aucune intrusion dans ses systèmes.
« Nos systèmes n'ont jamais été compromis et nos clients sont restés protégés tout au long de l'incident », a déclaré au média TechCrunch. Il a ajouté que l'entreprise avait « transmis le dossier aux autorités compétentes » après avoir suspendu l'accès de l'informateur.
CrowdStrike a affirmé avoir bloqué le bureau du travailleur dès qu'il a été confirmé qu'il avait « partagé des photos de son écran d'ordinateur à l'extérieur », et que les allégations circulant sur les forums de hackers étaient « fausses ».
Salesforce confirme une violation des données clients
Vendredi matin, Salesforce a mis à jour sa pagedent indiquant qu'une faille de sécurité affectait certains de ses clients en provoquant des « défaillances de connexion ». Des acteurs non autorisés ont accédé aux données Salesforce de certains clients, sans toutefoisdentquelles organisations étaient concernées.
Salesforce a déclaré que l'intrusion s'était produite via des applications développées par Gainsight, fournisseur de services d'assistance client et d'analyse.
Plus tard dans la journée, Austin Larsen, analyste principal des menaces au sein du groupe de renseignement sur les menaces de Google, a déclaré que l'entreprise « a connaissance de plus de 200 instances Salesforce potentiellement affectées ».
Des membres dispersés de Lapsus$ Hunters ont publiquement revendiqué l'accès aux données via les intégrations de Gainsight et ont utilisé les informations volées pour cibler d'autres clients corporatifs.
Un porte-parole de ShinyHunters, l'un des groupes membres du collectif, s'est vanté que « Gainsight était un client de Salesloft Drift, ils ont été affectés et donc entièrement compromis par nous. »
Gainsight publie régulièrement des mises à jour sur sa pagedent aux incidents depuis que l'attaque a été rendue publique. Vendredi, l'entreprise a annoncé avoir fait appel à Mandiant, l'unité de réponse auxdent de Google, pour l'aider à enquêter sur la faille de sécurité.
Salesforce a également révoqué temporairement, par mesure de précaution, les jetons d'accès actifs des applications connectées à Gainsight, et a informé les clients dont les données avaient été volées, selon les mises à jour publiques de l'entreprise.
« Les clients utilisant HubSpot pourraient constater que l'application Gainsight a été temporairement retirée de la Marketplace HubSpot par mesure de précaution. Cela pourrait également impacter l'accès OAuth aux connexions clients pendant la durée de l'examen. Nous collaborerons avec HubSpot pour remettre l'application en ligne après un examen approfondi », indiquait un rapport d'étape publié jeudi.
La famille Lapsus$ dispersée est responsable de plusieurs violations de données très médiatisées.
Scattered Lapsus$ Hunters est un collectif formé par plusieurs groupes de cybercriminels anglophones, dont ShinyHunters, Scattered Spider et Lapsus$. Ce collectif s'est fait connaître pour ses techniques d'ingénierie sociale visant à inciter les employés à divulguer leurs identifiants de connexion, à accorder un accès à distance ou à approuver des demandes d'authentification.
Parmi leurs « conquêtes », le groupe a déjà ciblé MGM Resorts, Coinbase, DoorDash, Workday, Aflac Insurance et d'autres grandes entreprises. En octobre dernier, les membres de Scattered Lapsus$ Hunters affirmaient avoir dérobé plus d'un milliard d'enregistrements à des entreprises utilisant Salesforce pour gérer leurs informations clients.
Ils ont publié un répertoire divulgué contenant des données provenant de l'assureur Allianz Life, de la compagnie aérienne Qantas, du constructeur automobile Stellantis, de TransUnion, de la plateforme de gestion des employés Workday, et bien d'autres.
Au cours des dix-huit derniers mois, la famille Scattered Lapsus$ a également revendiqué la responsabilité d'dentchez Atlassian, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters et Verizon.
Les pirates informatiques ont annoncé sur leur chaîne Telegram leur intention de lancer la semaine prochaine un nouveau site web d'extorsion destiné aux entreprises ciblées lors de leur dernière opération.
« Le prochain site de fuite de données contiendra les données des campagnes Salesloft et GainSight », ont indiqué les pirates informatiques à DataBreaches.net.
