Google, Salesforce üzerinde depolanan verilerin 200’den fazla şirkete ait kopyalarının büyük çaplı bir tedarik zinciri saldırısında bilgisayar korsanları tarafından çalındığını doğruladı.

Perşembe günü Salesforce, bazı müşterilere ait verilerin yetkisiz erişim sonucu ele geçirildiğini açıkladı ancak hangi şirketlerin etkilendiğini belirtmedi. Verilerin, diğer şirketlere müşteri destek platformu sağlayan Gainsight tarafından yayınlanan uygulamalar üzerinden sızdırıldığı ifade edildi.

Google Tehdit İstihbarat Grubu’nun baş analisti Austin Larsen, yaptığı açıklamada 200’den fazla Salesforce örneğinin potansiyel olarak etkilenmiş olabileceğini söyledi.

Salesforce açıklamasının ardından, daha önce birçok büyük kurumun sistemlerine sızmakla bilinen Scattered Lapsus$ Hunters isimli bilgisayar korsanları grubu ShinyHunters’ın da içinde bulunduğu topluluk saldırının sorumluluğunu Telegram kanalı üzerinden üstlendi.

Grup, saldırıdan Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters ve Verizon gibi şirketlerin etkilendiğini iddia etti. Google ise özel şirketlere ilişkin yorum yapılmayacağını açıkladı.

CrowdStrike sözcüsü Kevin Benacci, Gainsight kaynaklı bir sorunla etkilenmediklerini ve müşteri verilerinin güvende olduğunu belirtti. Şirket, yaptığı açıklamada şüpheli bir iç personelin hackerlara bilgi sızdırdığı iddiası üzerine işine son verildiğini de doğruladı.

Verizon sözcüsü Kevin Israel, hacker grubunun iddiasını kanıtsız olarak nitelendirirken; Malwarebytes, Gainsight–Salesforce kaynaklı konuyu incelediklerini söyledi. Thomson Reuters da benzer şekilde aktıf bir soruşturma yürüttüklerini duyurdu.

Docusign güvenlik yöneticisi Michael Adams, kayıt analizleri ve iç incelemeler sonucunda herhangi bir veri ihlaline işaret eden bulguya rastlanmadığını belirtti. Adams, tedbir amaçlı olarak tüm Gainsight entegrasyonlarını durdurduklarını da ekledi.

Diğer şirketler ise haber yayınlandığı sırada yorum taleplerine yanıt vermedi.

ShinyHunters üyeleri yaptıkları açıklamada, Gainsight’e erişimi Salesloft Drift platformunu hedef alan önceki bir siber saldırı sayesinde elde ettiklerini söyledi.
Bu saldırıda, Salesloft müşterilerine ait Drift kimlik doğrulama jetonlarının çalındığı, böylece hackerların ilgili şirketlerin Salesforce hesaplarına giriş yaparak veri indirebildiği belirtildi.

Gainsight daha önce Salesloft saldırısında etkilendiğini doğrulamıştı.

Salesforce, yaptığı açıklamada ihlalın kendi platformundaki bir güvenlik açığından kaynaklanmadığını, sorunlu bağlantının Gainsight uygulamalarından geldiğini duyurdu.

Gainsight, olayla ilgili güncellemeleri kendi “incident” sayfasından yayımlamayı sürdürüyor. Şirket, Google’ın olay müdahale birimi Mandiant ile ortak çalıştığını ve adli incelemenin devam ettiğini açıkladı.

Ayrıca Salesforce’un önlem olarak Gainsight bağlantılı uygulamaların aktif erişim jetonlarını geçici olarak iptal ettiği ve etkilenen müşterilere bilgilendirme yaptığı belirtildi.

Scattered Lapsus$ Hunters, Telegram kanalında yaptığı duyuruda saldırıdan etkilendiğini iddia ettikleri şirketleri hedef almak için önümüzdeki hafta özel bir şantaj sitesi yayınlayacaklarını açıkladı.

Grup geçtiğimiz ekim ayında da benzer bir yöntemle Salesloft saldırısında çaldığı Salesforce verilerini yayımlamıştı.

Scattered Lapsus$ Hunters; ShinyHunters, Scattered Spider ve Lapsus$ gibi çeşitli İngilizce konuşan hacker gruplarının birleşiminden oluşuyor. Bu gruplar son yıllarda MGM Resorts, Coinbase, DoorDash gibi birçok büyük şirketi hedef alan sosyal mühendislik saldırılarıyla biliniyor. (İLKHA)