Google, siber korsanların 200’den fazla şirketin Salesforce’ta saklanan verilerini çaldığını doğruladı. Bu büyük ölçekli tedarik zinciri saldırısı, Gainsight platformu üzerinden gerçekleşti.
Geçtiğimiz Perşembe günü, Salesforce, “bazı müşterilerin Salesforce verilerinin” çalındığını duyurdu. Ancak etkilenen şirketlerin isimlerini açıklamadı. Bu verilerin, Gainsight tarafından yayınlanan uygulamalar aracılığıyla çalındığı bilgisi verildi.
Google Tehdit İstihbarat Grubundan Austin Larsen, şirketin “200’den fazla potansiyel olarak etkilenen Salesforce örneğinin” farkında olduğunu belirtti.
Salesforce’un hack olayını duyurmasının ardından, siber suçlar alanında adı sıkça anılan Scattered Lapsus$ Hunters grubu, Telegram kanalında bu saldırılardan sorumlu olduklarını iddia etti.
Bu hacking grubu, Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters ve Verizon gibi şirketlere yönelik saldırılarda bulunduklarını açıkladı.
CrowdStrike sözcüsü Kevin Benacci, şirketin Gainsight sorunundan etkilenmediğini ve tüm müşteri verilerinin güvende olduğunu belirtti. Ayrıca, CrowdStrike, bir “şüpheli iç kaynağı” hackçilere bilgi sızdırdığı için işten çıkardığını doğruladı.
Verizon sözcüsü Kevin Israel, “Verizon, tehdit aktörünün asılsız iddialarının farkında” açıklamasını yaptı, ancak bu iddialar için herhangi bir kanıt sunmadı.
Malwarebytes sözcüsü Ashley Stewart ise şirketin güvenlik ekibinin Gainsight ve Salesforce konularının farkında olduğunu ve “aktif olarak durumu araştırdığını” ifade etti.
Hackçiler, Gainsight’a erişim sağlamak için Salesloft müşterilerini hedef alan önceki bir hacking kampanyası sayesinde içeriğe ulaştıklarını açıkladılar. Bu kampanya sırasında, hackçiler Drift kullanıcılarından kimlik doğrulama belirteçlerini çalmış, bu sayede Salesforce hesaplarına sızmışlardı.
Gainsight, bu hacking kampanyasında kurbanlar arasında olduğunu doğrulamıştı. Gainsight, durumu araştırmak için Google’ın olay yanıt birimi Mandiant ile işbirliği yaptığını açıkladı.
Salesforce, bu sorunun Salesforce platformunda herhangi bir zafiyetten kaynaklandığına dair bir belirti olmadığını belirterek, müşterilerinin veri ihlalleri ile olan bağlantısını kopardı.
Scattered Lapsus$ Hunters grubu, bu haftaya kadar son kampanyasının kurbanlarını zorlamak için özel bir web sitesi başlatmayı planladıklarını duyurdu. Bu durum, grubun modus operandi olarak biliniyor.
Bu hikaye, Thomson Reuters ve Verizon’dan gelen yorumları içerecek şekilde güncellenmiştir.
