Группа киберпреступников под названием Scattered Lapsus$ Hunters проникла в инфраструктуру Gainsight — сервиса для управления клиентскими отношениями, тесно связанного с платформой Salesforce. По предварительным оценкам, под угрозой оказались сведения из более 200 бизнес-аккаунтов, в том числе контакты, лицензии и детали поддержки. Журналисты TechCrunch первыми сообщили об этом, опираясь на выводы специалистов из Google Threat Intelligence Group, которые подсчитали потенциально скомпрометированные инстансы Salesforce.
Атака развивалась поэтапно. Сначала хакеры взяли на прицел Salesloft – провайдера инструментов для автоматизации маркетинга, включая чат-боты на базе искусственного интеллекта под брендом Drift. Там они перехватили ключи авторизации, которые открыли двери в связанные системы. Оттуда путь лежал прямиком к Gainsight, а через её приложения — в корпоративные хранилища Salesforce, где компании хранят всё, от имён менеджеров до историй обращений в службу поддержки.
Представители Scattered Lapsus$ Hunters, объединившие в себе элементы банд ShinyHunters, Scattered Spider и Lapsus$, сами похвастались в Telegram-канале, что добыли материалы от Atlassian, CrowdStrike, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters и Verizon. Это не случайный грабёж, а целенаправленный рейд по цепочке поставок, где слабое звено тянет за собой целую сеть.
В компании Gainsight не стали отрицать случившееся и сразу подключили к разбору полётов экспертов из Google Mandiant — подразделения, которое специализируется на расследованиях инцидентов. Они подтвердили, что проблема возникла именно из-за внешних подключений приложений, а не из-за дыр в самой Salesforce. В качестве превентивного шага, платформа временно заблокировала все активные токены доступа для инструментов Gainsight, чтобы остановить возможный отток данных. Кроме того, Gainsight отключила интеграции с другими сервисами вроде Hubspot и Zendesk, просто на всякий случай.
Представители Gainsight отметили в обновлении на своём сайте, что продолжают сотрудничество с Salesforce и изучают технические индикаторы, чтобы понять полный масштаб ущерба. Сторона Salesforce отреагировала сдержанно, подчеркнув, что их основная инфраструктура осталась нетронутой.