SaaS安全大崩盘！又一起重大攻击，超200家大中型企业数据泄露

11月20日，Salesforce披露“部分客户的Salesforce数据”遭到入侵，但并未点名受影响的公司。这些数据是通过由Gainsight发布的应用程序被盗，而Gainsight向其他公司提供客户支持平台。

谷歌威胁情报团队首席威胁分析师Austin Larsen在声明中表示，公司“已知有200多个可能受影响的Salesforce实例”。

在Salesforce宣布此次入侵后，一个臭名昭著且带有神秘色彩的黑客组织Scattered Lapsus$ Hunters（其中包含ShinyHunters团伙），在一个Telegram频道中宣称对攻击负责。

该黑客组织声称，他们对影响Atlassian、CrowdStrike、Docusign、F5、GitLab、领英、Malwarebytes、SonicWall、汤森路透以及威瑞森通信的攻击负责。

谷歌拒绝就具体受害者发表评论。

CrowdStrike发言人Kevin Benacci表示，公司“未受Gainsight事件影响，所有客户数据依然安全”。

CrowdStrike向外媒TechCrunch确认，公司已解雇一名“可疑内部人员”，该人员涉嫌向黑客泄露信息。

TechCrunch联系了所有被Scattered Lapsus$ Hunters点名的公司。

Verizon发言人Kevin Israel在声明中表示，“Verizon知晓该威胁行为者未经证实的声明”，但并未提供支持该声明的任何证据。

Malwarebytes发言人Ashley Stewart告诉TechCrunch，公司安全团队已“知晓”Gainsight和Salesforce相关问题，并“正在积极调查”。

汤森路透的一位发言人表示，公司正在“积极调查”。

Docusign首席信息安全官Michael Adams在给TechCrunch的声明中表示，“在经过全面日志分析和内部调查后，我们目前没有任何迹象表明Docusign数据遭到泄露。”然而，Adams补充称，“出于高度谨慎，我们已采取一系列措施，包括终止所有Gainsight集成并限制相关数据流动。”

截至发稿时，其他公司均未回应置评请求。

ShinyHunters团伙的黑客在与TechCrunch的在线聊天中表示，他们之所以能够访问Gainsight，是因为此前针对Salesloft客户的黑客活动获得了入口。Salesloft提供一个名为Drift的、由AI和聊天机器人驱动的营销平台。在那起事件中，黑客从受害客户处窃取了Drift认证令牌，从而得以侵入他们关联的Salesforce实例并下载相关内容。

当时，Gainsight证实自己是那轮攻击行动的受害者之一。

一名ShinyHunters发言人告诉TechCrunch：“Gainsight是Salesloft Drift的客户，他们受到了影响，因此被我们完全攻破。”

Salesforce发言人Nicole Aranda告诉TechCrunch，“根据政策，Salesforce不会就具体客户问题发表评论。”

Gainsight未回应TechCrunch的置评请求。

11月20日，Salesforce表示，没有迹象表明“这一问题源自Salesforce平台的任何漏洞”，意在与客户数据泄露撇清关系。

Gainsight一直在其事件页面上更新事件进展。

11月21日，公司表示正在与谷歌的事件响应部门Mandiant合作调查此次入侵。

公司指出，本次事件“源自应用程序的外部连接，而非来自Salesforce平台的任何问题或漏洞”，并补充称“取证分析仍在作为全面且独立审查的一部分继续进行”。

根据Gainsight的事件页面，“Salesforce已作为预防措施，暂时吊销Gainsight关联应用的有效访问令牌，同时对异常活动的调查仍在继续”，并称Salesforce正在通知数据遭窃的受影响客户。

在Telegram频道中，Scattered Lapsus$ Hunters表示，计划在下周上线一个专门网站，用于勒索其最新攻击活动中的受害者。

这是该组织的惯用手法。今年10月，在Salesloft事件中窃取受害者的Salesforce数据后，他们也曾发布类似的勒索网站。

Scattered Lapsus$ Hunters是一个由英语黑客组成的集体，包含ShinyHunters、Scattered Spider和Lapsus$等多个网络犯罪团伙成员。

其成员常通过社会工程策略诱骗公司员工，为黑客打开进入公司系统或数据库的大门。

过去几年，这些团伙曾声称攻破多个重要目标，如美高梅国际酒店集团、Coinbase、DoorDash等。