Hackers maliciosos acceden a datos de 200 compañías después de brecha reportada por Google
El gigante tecnológico Google ha confirmado que ciberdelincuentes han robado datos almacenados en Salesforce de más de 200 empresas, luego de un ciberataque masivo a la cadena de suministro. La misma Salesforce ha revelado una brecha en ciertos datos de clientes de la compañía, sin nombrar alguna afectada, sustraídos por medio de aplicaciones publicadas por Gainsight, proveedor de una plataforma de soporte para otras organizaciones.
En un comunicado, analistas del Grupo de Inteligencia de Amenazas de Google, han afirmado que la empresa tiene conocimiento de más de 200 instancias de Salesforce potencialmente comprometidas. Luego del anuncio de Salesforce, el notorio grupo de hackers maliciosos llamado Scattered Lapsus$ Hunters, en donde se incluye la banda ShinyHunters, se ha atribuido los ataques en un canal de la app de mensajería Telegram.
El grupo ha asegurado ser el responsable de ataques contra CrowdStrike, LinkedIn, Malwarebytes, Verizon, entre otros. Voceros de CrowdStrike ha dicho a medios digitales que esta empresa no ha sido afectada por el problema de Gainsight y todos los datos de sus clientes permanecen protegidos. Igualmente, han confirmado que despidieron a un trabajador sospechoso quien ha sido acusado de filtrar información a cibercriminales.
Del mismo modo, investigadores han contactado a todas las organizaciones mencionadas por el grupo Scattered Lapsus$ Hunters, como los portavoces de Verizon, quienes declararon que están al tanto de las afirmaciones infundadas de los actores de amenazas, sin aportar pruebas de dichas acusaciones.
Los voceros de Mlawarebytes señalaron a los medios que su equipo de seguridad informática está consciente de los problemas de Gainsight y Salesforce, afirmando que se encuentran investigando activamente el asunto. Portavoces de Thomson Reuters han indicado que la organización se encuentra en investigaciones exhaustivas.
Directores de seguridad de la empresa Docusign han reportado a los medios digitales que luego de un análisis profundo de registros e investigación interna, no se encuentran indicios de que haya datos comprometidos. No obstante, señalaron que, por precaución, se han tomado varias medidas, entre las que se incluyen terminar todas las integraciones con Gainsight y contener los flujos de datos relacionados.
Igualmente, hackers maliciosos han comentado a medios digitales mediante un chat en línea que han accedido a Gainsightgracias a una campaña previa contra clientes de Salesloft, quien es proveedor de una plataforma de marketing con inteligencia artificial y chatbots llamada Drift. En este caso, los actores de amenazas han robado tokens de autenticación, lo que les ha permitido irrumpir en instancias vinculadas de Salesforce y descargar su contenido.
En ese momento, Gainsight ha confirmado que estaba entre las víctimas de dicha campaña. Además, Gainsight era cliente de Salesloft Drift y han resultado afectados. Por lo tanto, han sido comprometidos totalmente por el grupo de ShinyHunters, han declarado sus mismos voceros a medios digitales.
Como política, Salesforce no comenta sobre problemas específicos de clientes, según los portavoces de esta firma, asegurando que no hay indicios de que este problema haya venido de alguna vulnerabilidad en la plataforma, distanciándose de esta manera de las filtraciones de datos de sus clientes.
Gainsight ha publicado actualizaciones acerca de su incidente en su página. Hace unos días, la compañía ha informado que trabaja con la unidad de respuesta de incidentes de Google, Mandiant, para poder investigar la brecha en cuestión, la cual se originó en la conexión externa de las aplicaciones, no en vulnerabilidades de la plataforma Salesforce, además de que sigue en marcha un análisis forense dentro de una revisión independiente y exhaustiva.
