Google, 200'den fazla şirketi etkileyen önemli bir veri ihlalini doğruladı. Bu ihlalde, bilgisayar korsanları, müşteri destek platformu sağlayıcısı Gainsight'ın uygulamalarını içeren büyük ölçekli bir tedarik zinciri saldırısı yoluyla Salesforce'ta depolanan müşteri verilerini çaldı. İhlal başlangıçta Perşembe günü Salesforce tarafından duyuruldu; Google'ın Baş Tehdit Analisti Austin Larsen, "potansiyel olarak etkilenen 200'den fazla Salesforce örneğinden" haberdar olduklarını belirtti.
Bilgisayar Korsanları Sorumluluğu Üstlendi ve Şantaj Planlıyor
Salesforce'un açıklamasının ardından, kötü şöhretli siber suç kolektifi Scattered Lapsus$ Hunters – önde gelen ShinyHunters çetesini de içeren grup – bir Telegram kanalı aracılığıyla ihlallerin sorumluluğunu kamuoyuna duyurdu. Grup, Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters ve Verizon dahil olmak üzere verilerini ele geçirdiğini iddia ettiği birçok yüksek profilli şirketi özellikle listeledi.
Google, belirli kurbanlar hakkında yorum yapmaktan kaçındı. Bilgisayar korsanları tarafından listelenen birçok şirket sessiz kalırken, CrowdStrike sözcüsü Kevin Benacci, şirketin "Gainsight sorunundan etkilenmediğini ve tüm müşteri verilerinin güvende kaldığını" belirtti ve bilgisayar korsanlarıyla bilgi paylaştığı iddia edilen "şüpheli bir içeriden" kişinin işine son verildiğini ekledi. Malwarebytes, güvenlik ekibinin "farkında olduğunu" ve "aktif olarak araştırdığını" doğrularken, Verizon soruları aldığını kabul etti.
Saldırı Nasıl Gelişti
Scattered Lapsus$ Hunters'ın bir alt grubu olan ShinyHunters, Gainsight'a erişimlerinin daha önceki bir hack kampanyasından kaynaklandığını açıkladı. Bu önceki saldırı, yapay zeka ve sohbet robotu destekli pazarlama platformu Drift'in sağlayıcısı Salesloft'un müşterilerini hedef almıştı. Bilgisayar korsanlarının bu müşterilerden Drift kimlik doğrulama belirteçlerini çaldığı ve bunun da onların bağlantılı Salesforce örneklerine sızmalarını ve veri sızdırmalarını sağladığı bildirildi. Gainsight, daha önce Salesloft ile ilgili o olayda mağdur statüsünü doğrulamıştı.
"Gainsight, Salesloft Drift'in bir müşterisiydi, etkilendiler ve bu nedenle tarafımızca tamamen ele geçirildiler," dedi ShinyHunters.
Salesforce ve Gainsight Yanıt Veriyor
Salesforce, sözcüsü Nicole Aranda aracılığıyla, belirli müşteri sorunları hakkında yorum yapmama politikasını sürdürdü. Şirket ayrıca, "bu sorunun Salesforce platformundaki herhangi bir güvenlik açığından kaynaklandığına dair hiçbir belirti olmadığını" iddia ederek, kendisini müşterilerinin veri ihlallerinden etkili bir şekilde uzaklaştırdı. Yorum taleplerine yanıt vermeyen Gainsight, olay sayfasında güncellemeler sağlıyor.
Cuma günü Gainsight, soruşturma için Google'ın olay müdahale birimi Mandiant ile işbirliği yaptığını duyurdu. Gainsight, olayın "uygulamaların harici bağlantısından kaynaklandığını – Salesforce platformundaki herhangi bir sorundan veya güvenlik açığından değil" ve "kapsamlı ve bağımsız bir incelemenin parçası olarak adli analizin devam ettiğini" yineledi. Önleyici bir tedbir olarak, Salesforce, Gainsight'a bağlı uygulamalar için aktif erişim belirteçlerini geçici olarak iptal etti ve verileri çalınan etkilenen müşterileri bilgilendiriyor.
Scattered Lapsus$ Hunters'ın Modus Operandi'si
Yerleşik çalışma yöntemlerine sadık kalarak, Scattered Lapsus$ Hunters, bu son kampanyanın kurbanlarından şantaj yapmak için önümüzdeki hafta özel bir web sitesi başlatmayı planladıklarını duyurdu. Ekim ayında da benzer bir taktik kullanmış, Salesloft olayında Salesforce verilerini çaldıktan sonra bir şantaj web sitesi yayınlamışlardı.
Scattered Lapsus$ Hunters, ShinyHunters, Scattered Spider ve Lapsus$ dahil olmak üzere birçok kötü şöhretli siber suç çetesini içeren İngilizce konuşan bir kolektiftir. Bu gruplar, şirket çalışanlarını sistemlere ve veritabanlarına yetkisiz erişim sağlamaları için manipüle etmek amacıyla sosyal mühendislik taktikleri kullanmalarıyla bilinirler. Geçmişteki yüksek profilli kurbanları arasında MGM Resorts, Coinbase ve DoorDash bulunmaktadır.
