Hackers Roban Datos de Más de 200 Empresas en Ataque a Salesforce a Través de Gainsight

Ataque Cibernético a Gran Escala Compromete Datos de Empresas en Salesforce

En un incidente de seguridad masivo, hackers han sustraído información de más de 200 empresas cuyos datos estaban almacenados en Salesforce, mediante aplicaciones publicadas por Gainsight, plataforma de soporte al cliente.

Grupo Responsable y Empresas Afectadas

El grupo de hackers conocido como Scattered Lapsus$ Hunters, que incluye a la banda ShinyHunters, se atribuyó la responsabilidad de los ataques. Entre las empresas mencionadas como potencialmente afectadas se encuentran:

• Atlassian
• CrowdStrike
• Docusign
• F5
• GitLab
• Linkedin
• Malwarebytes
• SonicWall
• Thomson Reuters
• Verizon

Respuestas de las Empresas Afectadas

Varias compañías han emitido declaraciones sobre el incidente:

• CrowdStrike: Afirmó no estar afectada y que todos los datos de clientes permanecen seguros.
• Verizon: Indicó conciencia de las afirmaciones no sustanciadas del actor de amenazas.
• Malwarebytes y Thomson Reuters: Confirmaron que están investigando activamente el asunto.
• Docusign: No encontró indicios de compromiso de datos, pero tomó medidas preventivas como terminar integraciones con Gainsight.

Método del Ataque y Origen

Los hackers explicaron que accedieron a Gainsight mediante una campaña previa dirigida a clientes de Salesloft, donde robaron tokens de autenticación de Drift. Esto les permitió infiltrarse en las instancias de Salesforce vinculadas y descargar su contenido. Gainsight confirmó haber sido víctima de esa campaña de hacking anterior.

Acciones de Contención y Investigación

Salesforce ha revocado temporalmente los tokens de acceso activos para aplicaciones conectadas a Gainsight como medida precautoria. Por su parte, Gainsight está colaborando con Mandiant, la unidad de respuesta a incidentes de Google, para investigar la brecha. La compañía enfatizó que el incidente se originó en conexiones externas y no en vulnerabilidades de la plataforma Salesforce.

Planes Futuros de los Hackers

Scattered Lapsus$ Hunters anunció en su canal de Telegram que planea lanzar un sitio web dedicado para extorsionar a las víctimas de esta campaña la próxima semana, una táctica similar a la empleada en incidentes anteriores.

«Salesforce no tiene indicios de que este problema resulte de cualquier vulnerabilidad en la plataforma Salesforce», declaró un portavoz de la empresa, distanciándose de las brechas de datos de sus clientes.