谷歌公司今日正式确认,通过Gainsight第三方应用引发的复杂网络攻击已导致超过200家使用Salesforce平台的企业客户敏感数据泄露。此次事件被定性为重大供应链攻击,攻击者未直接利用Salesforce平台漏洞,而是通过客户关系管理平台供应商Gainsight的第三方应用实施入侵。
谷歌威胁情报集团高级威胁分析师奥斯汀·拉森表示,谷歌已检测到异常活动并确认200余个Salesforce实例受到影响。该事件继Salesforce上周四承认部分客户通过Gainsight应用数据泄露后,再次引发业界关注。Salesforce强调该泄露事件与平台缺陷无关。
自称”散落的Lapsus$猎人”的黑客组织(包含臭名昭著的ShinyHunters网络犯罪团伙成员)公开宣称对此事件负责,并点名声称包括Atlassian、CrowdStrike、DocuSign等在内的多家跨国企业受影响。但部分被点名企业已作出强烈回应:
– CrowdStrike:发言人明确否认受影响,强调客户数据”100%安全”,但确认有员工因可疑行为被解雇,暗示可能存在内部威胁
– Verizon:声明已知悉相关指控,但未发现数据泄露证据
– DocuSign:首席信息安全官表示初步检查未发现入侵迹象,但已采取预防性措施断开与Gainsight的连接
技术调查显示,ShinyHunters通过此前针对Salesloft(Drift人工智能营销平台供应商)的攻击获得的认证令牌实施入侵。这些数字密钥使攻击者能够访问关联的Salesforce实例并提取数据。Gainsight已确认成为早期攻击的受害者,问题源于外部应用连接而非Salesforce内部漏洞,并已与谷歌旗下Mandiant网络安全团队展开联合调查。
为控制事态,Salesforce已临时撤销与Gainsight连接应用的访问令牌并通知受影响客户。值得注意的是,黑客组织计划下周推出专门的数据羞辱网站,这是该组织惯用的社交工程攻击手段,此前已对MGM度假村、Coinbase和DoorDash等企业实施过类似勒索行为。
