谷歌证实,一场大规模的供应链攻击导致 200 多家公司存储在 Salesforce 中的数据被盗。黑客并未直接攻击 Salesforce 平台,而是利用了第三方客户支持平台 Gainsight 的集成漏洞进行渗透。知名黑客组织声称对此次涉及多家科技巨头的入侵负责,并计划建立网站勒索受害者,而涉事公司正紧急切断连接并展开取证调查。
攻击是如何发生的
这是一次典型的供应链攻击。黑客没有直接攻破最终受害者的“大门”,而是通过其供应商的软件“走后门”。
- 入侵路径: 黑客组织 ShinyHunters 透露,他们通过针对 Salesloft 客户的早期攻击活动获得了 Gainsight 的访问权限。
- 数据窃取: 利用 Gainsight 应用程序与 Salesforce 之间的合法连接,黑客成功闯入关联的 Salesforce 实例并下载了其中的内容。
- 平台声明: Salesforce 明确表示,没有任何迹象表明问题源于其自身的平台漏洞,并已试图与客户的数据泄露事件撇清关系。
幕后黑手与受波及企业
攻击者是一个自称为 Scattered Lapsus$ Hunters 的黑客联盟。该组织由多个擅长社会工程学的网络犯罪团伙(如 ShinyHunters 和 Lapsus$)组成。
他们在 Telegram 频道中声称对以下知名企业的入侵负责,但各公司的回应不一:
- CrowdStrike: 发言人表示公司未受 Gainsight 问题影响,客户数据安全。但公司确认解雇了一名涉嫌向黑客传递信息的“可疑内部人员”。
- Verizon: 表示知晓黑客的说法,但称其为“未经证实的指控”。
- Docusign: 首席信息安全官表示目前没有数据泄露的迹象,但出于极度谨慎,已终止所有 Gainsight 集成并控制相关数据流。
- 其他提及目标: 包括 Atlassian, F5, GitLab, LinkedIn, Malwarebytes 和 Thomson Reuters 等,部分公司表示正在积极调查中。
紧急应对与勒索威胁
为了控制事态发展,相关方已迅速采取行动,同时也面临着进一步的勒索风险。
Salesforce 已暂时撤销了 Gainsight 连接应用的访问令牌,作为调查期间的预防措施,并正在通知受影响的客户。
- 取证调查: Gainsight 正与谷歌旗下的威胁情报团队 Mandiant 合作。他们确认事件源于应用程序的外部连接,而非 Salesforce 内部问题。
- 下一步威胁: 黑客组织计划在下周通过一个专用网站勒索受害者。这是该组织的惯用手段,旨在通过威胁公开敏感数据来迫使企业支付赎金。