据报道,总部位于德克萨斯州的美国网络安全公司 CrowdStrike 解雇了一名被指控向网络犯罪团伙泄露内部信息的员工。该团伙最近声称对涉及 Salesforce 连接系统的企业数据泄露事件负责。
这家安全公司在发现这名“内部人士”与名为“Scattered Lapsus$ Hunters”的组织合作后,解雇了他。该组织于周四晚些时候和周五上午开始在其 Telegram 频道上发布所谓的内部截图。
Scattered Lapsus$ 发布了多张图片,展示了与公司资源关联的仪表盘,包括员工用于访问内部应用程序的 Okta 面板。黑客声称这些截图来自被入侵的员工,并证明他们在本周早些时候入侵 Gainsight 后,已成功渗透到 CrowdStrike。
CrowdStrike 和 Gainsight 仍在调查被盗信息
据 CrowdStrike 称,黑客组织的说法和 Telegram 上的图片仅属于一名未经授权与外部人员分享其屏幕照片的员工,该公司坚称其系统没有遭到任何入侵。
告诉 “我们的系统从未遭到入侵,客户始终受到保护。”他还补充说,在终止了内部人员的访问权限后,公司已将此案移交给相关执法机构。
CrowdStrike 声称,在确认该员工“对外分享了电脑屏幕照片”后,立即对该员工的办公桌进行了搜查,并表示在黑客频道中流传的说法是“虚假的”。
Salesforce证实客户数据泄露
周五上午,Salesforce更新了其dent 页面,称一起数据泄露事件导致部分客户出现“连接故障”。未经授权的攻击者访问了“某些客户的Salesforce数据”,但并未dent哪些组织受到影响。
Salesforce 表示,此次入侵是通过客户支持和分析服务提供商 Gainsight 开发的应用程序发生的。
当天晚些时候,谷歌威胁情报小组网络安全部门首席威胁分析师奥斯汀·拉森表示,该公司“已经意识到超过 200 个 Salesforce 实例可能受到影响”。
零散的 Lapsus$ Hunters 公开声称对通过 Gainsight 集成访问数据负责,并利用窃取的信息来攻击其他企业客户。
ShinyHunters(该组织成员之一)的发言人吹嘘道:“Gainsight 是 Salesloft Drift 的客户,他们受到了影响,因此完全被我们损害了。”
自攻击事件公开以来,Gainsight 一直在其dent 页面上发布最新消息。周五,该公司表示已聘请谷歌的dent 响应部门 Mandiant 协助调查此次安全漏洞。
根据该公司的公开更新,Salesforce 还暂时撤销了与 Gainsight 连接的应用程序的活动访问令牌,作为一项预防措施,同时通知了数据被盗的客户。
“使用 HubSpot 的客户可能会发现,Gainsight 应用已暂时从 HubSpot 应用商店下架,这是出于安全考虑。在审核期间,客户连接的 OAuth 访问权限也可能受到影响。我们将与 HubSpot 合作,在完成全面审核后重新上架该应用。”周四发布的一份进度报告指出。
Lapsus$ 家族是多起备受瞩目的数据泄露事件的罪魁祸首。
“散落的Lapsus$猎人”是由多个英语网络犯罪团伙组成的合作组织,其中包括ShinyHunters、Scattered Spider和Lapsus$。该团伙因利用社会工程学技巧诱骗员工泄露登录信息、授予远程访问权限或批准身份验证提示而声名鹊起。
Aflac保险公司列为攻击目标。早在去年10月,Scattered Lapsus$ Hunters就声称已从使用Salesforce管理客户信息的企业窃取了超过10亿条记录。
他们公布了一份泄露的目录列表数据,数据来源包括保险公司安联人寿、航空公司澳洲航空、汽车制造商Stellantis、TransUnion、员工管理平台Workday等。
在过去一年半的时间里,Scattered Lapsus$ 家族还声称对 Atlassian、DocuSign、F5、GitLab、LinkedIn、Malwarebytes、SonicWall、Thomson Reuters 和 Verizon 等公司的dent负责。
黑客们在他们的 Telegram 频道上表示,他们计划下周推出一个新的勒索网站,针对在他们最近的行动中遭受攻击的公司。
“下一个数据泄露网站将包含 Salesloft 和 GainSight 活动的数据,”黑客们向 DataBreaches.net 分享了他们的计划。
