Prima di procedere
Un gruppo di hacker denominato Scattered Lapsus$ Hunters ha rivendicato una massiccia violazione di dati che coinvolge la piattaforma Salesforce e l'applicazione Gainsight, potenzialmente mettendo a rischio le informazioni di oltre duecento aziende. L'allarme è stato lanciato dagli esperti del Google Threat Intelligence Group, specializzati in sicurezza informatica, che hanno identificato l'intrusione nell'applicazione Gainsight, un software che si connette direttamente alla piattaforma CRM Salesforce.
I Scattered Lapsus$ Hunters hanno confermato l'attacco, affermando di aver sottratto dati da numerose società di spicco, tra cui Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters e Verizon. Secondo quanto riferito, l'attacco è stato eseguito in più fasi. Inizialmente, i criminali informatici hanno compromesso le risorse di Salesloft, una società che fornisce la piattaforma di marketing Drift, dotata di chatbot e funzionalità di intelligenza artificiale. Rubando i token di autorizzazione di Drift, gli hacker sono stati in grado di accedere ai dati di Gainsight.
Le applicazioni Gainsight si integrano con CRM Salesforce e fungono da piattaforma di supporto clienti per altre aziende. Avendo accesso ai dati di Gainsight, gli hacker hanno ottenuto la capacità di violare oltre duecento istanze di Salesforce. La gravità della situazione ha spinto Gainsight a riconoscere l'incidente, dichiarando di aver coinvolto esperti di Google Mandiant nelle indagini. Inoltre, "come misura precauzionale, Salesforce ha temporaneamente revocato i token di accesso attivi per le applicazioni connesse a Gainsight, in attesa dei risultati dell'indagine sull'attività anomala". Salesforce ha rilasciato una dichiarazione più cauta, affermando che "in conformità con la politica di Salesforce, non commenta i problemi specifici dei clienti", sottolineando al contempo l'assenza di "segni che questo problema sia stato causato da una vulnerabilità della piattaforma Salesforce".
Nonostante la portata potenziale dell'attacco, alcune delle aziende menzionate dagli hacker come vittime hanno negato la sottrazione di dati. Kevin Benacci, rappresentante di CrowdStrike, ha dichiarato a TechCrunch che la società "non è stata interessata dal problema di Gainsight e tutti i dati dei clienti rimangono al sicuro". Tuttavia, ha anche rivelato il licenziamento di un "insider sospetto" per la possibile trasmissione di informazioni agli hacker. Un portavoce di Verizon ha dichiarato che l'azienda è "consapevole delle affermazioni infondate degli aggressori". Anche Malwarebytes e Thomson Reuters hanno comunicato di aver avviato indagini interne sull'incidente. Docusign ha affermato di non aver trovato prove di furto di dati, ma, per precauzione, ha disabilitato le integrazioni con Gainsight e i flussi di dati associati.
I Scattered Lapsus$ Hunters continuano a insistere sulla veridicità delle loro affermazioni e hanno annunciato l'imminente lancio di un sito web dedicato all'incidente. Attraverso questo portale, le aziende colpite dalla violazione potranno contattare direttamente gli hacker per discutere il pagamento di un riscatto. Questo episodio solleva serie preoccupazioni sulla sicurezza dei dati nel cloud e sull'importanza di adottare misure di protezione robuste per prevenire attacchi informatici di questa portata. La vicenda è in continua evoluzione, e ulteriori dettagli emergeranno nelle prossime settimane.
