Secondo quanto riferito, l'azienda americana di sicurezza informatica con sede in Texas, CrowdStrike, ha licenziato un dipendente accusato di aver divulgato informazioni interne a un collettivo di criminalità informatica che ha recentemente rivendicato la responsabilità di violazioni aziendali che hanno coinvolto sistemi connessi a Salesforce.
L'azienda di sicurezza ha licenziato l'"insider" dopo aver scoperto che collaborava con il gruppo noto come Scattered Lapsus$ Hunters, che aveva iniziato a pubblicare presunti screenshot interni nella tarda serata di giovedì e venerdì mattina sul suo canale Telegram.
Scattered Lapsus$ ha diffuso diverse immagini che mostrano dashboard collegate alle risorse aziendali, inclusi i pannelli Okta utilizzati dai dipendenti per accedere alle applicazioni interne. Gli hacker hanno affermato che gli screenshot provenivano dal dipendente compromesso e che erano la prova che erano riusciti a infiltrarsi in CrowdStrike dopo aver hackerato Gainsight all'inizio di questa settimana.
CrowdStrike e Gainsight stanno ancora indagando sulle informazioni rubate
Secondo CrowdStrike, le affermazioni del gruppo di hacker e le immagini su Telegram appartenevano solo a un dipendente che aveva condiviso foto non autorizzate del suo schermo con soggetti esterni, e l'azienda insiste sul fatto che non si sono verificate violazioni nei suoi sistemi.
"I nostri sistemi non sono mai stati compromessi e i clienti sono rimasti protetti per tutto il tempo", ha dichiarato al quotidiano TechCrunch. Ha aggiunto che l'azienda "ha passato il caso alle forze dell'ordine competenti" dopo aver bloccato l'accesso all'insider.
CrowdStrike ha affermato di aver riempito la scrivania del dipendente non appena è stato confermato che aveva "condiviso esternamente le immagini dello schermo del suo computer", e che le affermazioni che circolavano sui canali degli hacker erano "false".
Salesforce conferma la violazione dei dati dei clienti
Venerdì mattina, Salesforce ha aggiornato la sua paginadent agli incidenti, affermando che una violazione stava colpendo alcuni dei suoi clienti, causando "errori di connessione". Alcuni soggetti non autorizzati avevano avuto accesso ai "dati Salesforce di alcuni clienti", sebbene non fosserodentle organizzazioni interessate.
Salesforce ha affermato che l'intrusione è avvenuta tramite applicazioni sviluppate dal fornitore di servizi di analisi e supporto clienti Gainsight.
Più tardi, Austin Larsen del Threat Intelligence Group di Google, uno dei principali analisti delle minacce presso la divisione sicurezza informatica, ha affermato che l'azienda "è a conoscenza di oltre 200 istanze Salesforce potenzialmente interessate".
I cacciatori di Lapsus$ sparsi hanno rivendicato pubblicamente la responsabilità di aver avuto accesso ai dati tramite le integrazioni di Gainsight e hanno utilizzato le informazioni rubate per prendere di mira altri clienti aziendali.
Un portavoce di ShinyHunters, uno dei gruppi all'interno del collettivo, si è vantato che "Gainsight era un cliente di Salesloft Drift, è stato colpito e quindi compromesso interamente da noi".
Gainsight ha pubblicato aggiornamenti sulla sua paginadent all'incidente da quando l'attacco è diventato pubblico. Venerdì, l'azienda ha dichiarato di aver incaricato Mandiant, l'unità di risposta aglident di Google, di indagare sulla violazione.
Secondo gli aggiornamenti pubblici dell'azienda, Salesforce ha anche revocato temporaneamente i token di accesso attivi per le app connesse a Gainsight come misura precauzionale, oltre a notificare i clienti i cui dati sono stati rubati.
"I clienti che utilizzano Hubspot potrebbero scoprire che l'app Gainsight è stata temporaneamente rimossa dall'Hubspot Marketplace come misura precauzionale. Ciò potrebbe anche influire sull'accesso OAuth per le connessioni dei clienti durante la revisione. Collaboreremo con Hubspot per ripubblicarla dopo un'attenta revisione", si legge in un rapporto sui progressi pubblicato giovedì.
La famiglia sparsa di Lapsus$ è responsabile di diverse violazioni di alto profilo
Scattered Lapsus$ Hunters è una collaborazione formata da diversi gruppi di criminalità informatica di lingua inglese, tra cui ShinyHunters, Scattered Spider e Lapsus$. Il collettivo è diventato famoso per l'utilizzo di tecniche di ingegneria sociale per indurre i dipendenti a rivelare i dati di accesso, concedere l'accesso remoto o approvare richieste di autenticazione.
Nella loro lista di "conquiste", il gruppo ha già preso di mira MGM Resorts, Coinbase, DoorDash, Workday, Aflac Insurance e altre grandi aziende. A ottobre, gli Scattered Lapsus$ Hunters hanno affermato di aver rubato oltre un miliardo di record da aziende che utilizzavano Salesforce per gestire le informazioni dei clienti.
Hanno pubblicato una directory trapelata che elenca i dati della compagnia assicurativa Allianz Life, della compagnia aerea Qantas, della casa automobilistica Stellantis, di TransUnion, della piattaforma di gestione dei dipendenti Workday e altri ancora.
Nell'ultimo anno e mezzo, la famiglia Scattered Lapsus$ ha rivendicato la responsabilità anche didentsu Atlassian, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters e Verizon.
Gli hacker hanno dichiarato sul loro canale Telegram che la prossima settimana intendono lanciare un nuovo sito web di estorsione per le aziende colpite nella loro ultima operazione.
"Il prossimo sito di fuga di dati conterrà i dati delle campagne Salesloft e GainSight", hanno dichiarato gli hacker a DataBreaches.net.
