سرقت اطلاعات ۲۰۰ شرکت توسط هکر‌ها پس از نقض امنیتی Gainsight 

باشگاه خبرنگاران جوان؛ جواد فراهانی - گوگل یک نقض امنیتی گسترده در زنجیره تامین خود را که منجر به سرقت اطلاعات ذخیره شده در پلتفرم Salesforce متعلق به بیش از ۲۰۰ شرکت شده بود، تأیید کرد. این اتفاق پس از آن رخ داد که Salesforce از نقض اطلاعاتی که برخی از مشتریانش را از طریق برنامه‌های متعلق به Gainsight، شرکتی متخصص در مدیریت و پشتیبانی ارتباط با مشتری، تحت تأثیر قرار داده بود، خبر داد.

Salesforce بیان داشته است که این حمله از برنامه‌های Gainsight برای دسترسی به داده‌های سازمانی سوءاستفاده کرده است، بدون اینکه هویت شرکت‌های آسیب‌دیده را فاش کند. آستین لارسن، تحلیلگر ارشد تهدیدات در گروه اطلاعات تهدیدات گوگل، توضیح داد که گوگل از بیش از ۲۰۰ مورد بالقوه در بین مشتریان Salesforce آگاه است.

شکارچیان پراکنده لاپسوس$ مسئولیت حمله را بر عهده گرفتند

پس از افشای این حادثه، گروه هکری شکارچیان پراکنده لاپسوس$، که شامل باند‌های بدنامی مانند ShinyHunters می‌شود، از طریق یک کانال تلگرام مسئولیت را بر عهده گرفت. این گروه ادعا کرد که این حمله شرکت‌های بزرگی از جمله: Atlassian، CrowdStrike، Docusign، F۵، GitLab، LinkedIn، Malwarebytes، SonicWall، Thomson Reuters و Verizon را هدف قرار داده است.

با این حال، برخی از قربانیان ادعا شده، تحت تأثیر قرار گرفتن خود را انکار کردند. CrowdStrike اظهار داشت که داده‌های آن ایمن است، در حالی که Verizon تصریح کرد که از ادعا‌های بی‌اساس آگاه است. Docusign همچنین تأیید کرد که پس از تحقیقات داخلی، هیچ نقض امنیتی در سیستم‌های آن شناسایی نشده است.

این آسیب‌پذیری از یک کمپین هک قبلی سرچشمه گرفته است

ShinyHunters به ​​TechCrunch فاش کرد که نقض Gainsight ناشی از یک کمپین هک قبلی است که مشتریان Salesloft، شرکتی که پلتفرم چت‌بات و ربات بازاریابی Drift را ارائه می‌دهد، را هدف قرار داده است. در آن کمپین، هکر‌ها توکن‌های احراز هویت متعلق به Drift را دزدیدند و به آنها دسترسی به سرور‌های Salesforce مرتبط با مشتریانش را دادند.

Gaisight پیش از این اذعان کرده بود که در میان قربانیان آن حمله بوده است و به مجموعه‌ای از نقض‌های امنیتی که منجر به حادثه اخیر شده بود، اشاره کرده بود.

موضع Salesforce و Gainsight

Salesforce اظهار داشت که هیچ آسیب‌پذیری در پلتفرم خود مربوط به این حادثه وجود ندارد و تأیید کرد که این نقض امنیتی از یک برنامه خارجی سرچشمه گرفته است. همچنین به طور موقت توکن‌های دسترسی برنامه‌های Gainsight را لغو کرد تا خسارت را کاهش دهد.

Gainsight به نوبه خود اعلام کرد که با تیم واکنش به حوادث Mandiant گوگل برای انجام یک تحلیل پزشکی قانونی کامل همکاری می‌کند. این گروه توضیح داد که این نقض امنیتی ناشی از یک اتصال خارجی بوده که به آسیب‌پذیری در خود Salesforce ربطی ندارد.

اخاذی پیش‌بینی‌شده توسط هکر‌ها

گروه Scattered Lapsus$ Hunters از طریق تلگرام اعلام کرد که قصد دارد ظرف هفته آینده یک وب‌سایت اخاذی راه‌اندازی کند که قربانیان این حمله را هدف قرار می‌دهد. به نظر می‌رسد این تاکتیک به یک مشخصه برای این گروه تبدیل شده است، زیرا آنها از وب‌سایت‌های مشابهی در تلاش‌های اخاذی مرتبط با کمپین‌های هک قبلی استفاده کرده‌اند.

هکر‌های پشت این حمله چه کسانی هستند؟

این گروه متشکل از چندین باند تبهکار برجسته، از جمله ShinyHunters، Scattered Spider و Lapsus$ است.

این باند‌ها به شدت به تکنیک‌های مهندسی اجتماعی برای فریب کارمندان شرکت‌ها و به دست آوردن اعتبارنامه‌های آنها متکی هستند، که قبلاً به آنها اجازه داده است به قربانیان مشهوری مانند MGM Resorts، Coinbase و DoorDash آسیب برسانند.

مبنع: الیوم السابع