Hackers roban datos de 200 empresas tras brecha en Gainsight
Más de 200 empresas han visto comprometidos sus datos almacenados en Salesforce debido a una brecha en aplicaciones de Gainsight. El grupo de hackers Scattered Lapsus$ Hunters se atribuyó el ataque e incluye en su lista de víctimas a compañías como Atlassian, GitLab y Verizon.
Origen del ataque en cadena
La intrusión se produjo a través de aplicaciones publicadas por Gainsight, una plataforma de soporte al cliente. Los hackers obtuvieron acceso utilizando tokens de autenticación robados previamente en una campaña contra clientes de Salesloft, de los cuales Gainsight era uno.
Respuesta de las empresas afectadas
Varias compañías mencionadas por los hackers iniciaron investigaciones internas. DocuSign terminó todas las integraciones con Gainsight como medida de precaución. CrowdStrike afirmó no estar afectada y despidió a un empleado interno sospechoso.
Investigación y medidas de contención
Gainsight colabora con Mandiant, la unidad de respuesta de incidentes de Google. Salesforce revocó tokens de acceso de aplicaciones vinculadas a Gainsight y notifica a los clientes afectados. La empresa enfatiza que no hubo vulnerabilidad en su plataforma.
Antecedentes del grupo atacante
Scattered Lapsus$ Hunters es un colectivo de hackers de habla inglesa que incluye a ShinyHunters, Scattered Spider y Lapsus$. Utilizan ingeniería social para acceder a sistemas corporativos y tienen un historial de ataques a empresas como MGM Resorts y Coinbase.
Repercusión y extorsión
El grupo anunció en Telegram que creará un sitio web para extorsionar a las víctimas la próxima semana, una táctica que ya emplearon en octubre tras el incidente con Salesloft. Esta acción aumenta la presión sobre las empresas cuyos datos fueron robados.
