Hackers invadiram o aplicativo Gainsight e podem ter roubado dados de mais de duzentas empresas.

Membros do grupo Scattered Lapsus$ Hunters invadiram o aplicativo Gainsight, que se conecta à plataforma de CRM Salesforce, e conseguiram roubar dados de mais de 200 grandes empresas. A informação foi divulgada por especialistas do Grupo de Inteligência de Ameaças do Google, uma divisão de segurança cibernética.

Fonte da imagem: Boitumelo / unsplash.com

O grupo Scattered Lapsus$ Hunters confirmou o ataque e relatou o roubo de dados da Atlassian, CrowdStrike, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters e Verizon. Segundo os cibercriminosos, o ataque foi realizado em várias etapas. Na primeira etapa, eles invadiram a Salesloft, que fornece chatbots e recursos de inteligência artificial para a plataforma de marketing Drift. Ao roubar os tokens de autorização da Drift, os hackers obtiveram acesso aos dados da Gainsight. Os aplicativos da Gainsight se conectam ao Salesforce CRM e funcionam como uma plataforma de suporte ao cliente para outras empresas. Com acesso aos dados da Gainsight, os hackers conseguiram comprometer mais de duzentas instâncias do Salesforce.

A Gainsight reconheceu o incidente e afirmou que especialistas do Google Mandiant participaram da investigação. O Salesforce também declarou que, “por precaução, revogou temporariamente os tokens de acesso ativos para aplicativos conectados à Gainsight enquanto a atividade incomum é investigada”. A Salesforce adotou uma postura mais cautelosa em suas declarações, afirmando que “por política, a Salesforce não comenta sobre problemas específicos de clientes” e também observou que “não havia indícios de que esse problema tenha sido causado por qualquer vulnerabilidade na plataforma Salesforce”.

Alguns dos clientes da Salesforce e da Gainsight mencionados pelos hackers garantiram que seus dados não foram roubados.Kevin Benacci, porta-voz da CrowdStrike, disse ao TechCrunch que a empresa “não foi afetada pelo problema com a Gainsight e todos os dados dos clientes permanecem seguros”; no entanto, um “funcionário suspeito” foi demitido por supostamente compartilhar informações com hackers. “A Verizon está ciente da alegação infundada.””Os atacantes”, declarou um representante da operadora. A Malwarebytes e a Thomson Reuters afirmaram estar investigando o incidente. A DocuSign declarou não ter encontrado evidências de roubo de dados, mas, por precaução, desativou as integrações com a Gainsight e seus respectivos feeds de dados.

Os hackers, contudo, insistem em sua posição. Prometeram lançar, nas próximas semanas, um site dedicado ao incidente, por meio do qual as vítimas do ataque poderão contatá-los e negociar o pagamento do resgate.