Google confirma robo masivo de datos almacenados en Salesforce; más de 200 empresas afectadas en un hackeo
Google confirmó que hackers robaron información almacenada en Salesforce perteneciente a más de 200 compañías, en un ataque masivo a la cadena de suministro que compromete aplicaciones vinculadas a Gainsight, plataforma de soporte al cliente utilizada por corporaciones globales.
El incidente fue revelado el jueves, cuando Salesforce informó una brecha que afectó “a ciertos clientes”, sin detallar los nombres. Gainsight fue identificada como el punto de acceso utilizado por los atacantes.
Austin Larsen, analista principal del Google Threat Intelligence Group, indicó que la compañía tiene registro de “más de 200 instancias potencialmente afectadas”.
Tras el anuncio, el colectivo de hackers Scattered Lapsus$ Hunters, que integra a grupos como ShinyHunters, asumió la autoría del ataque mediante un canal de Telegram. Afirman haber comprometido datos pertenecientes a corporaciones como Atlassian, CrowdStrike, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters y Verizon. Google declinó comentar sobre víctimas específicas.
CrowdStrike aseguró no estar afectada y anunció la terminación de un “empleado sospechoso” que habría compartido información con los hackers. Verizon calificó las acusaciones como “infundadas”. Malwarebytes y Thomson Reuters confirmaron investigaciones en curso.
Los hackers afirmaron que el acceso inicial provino de una campaña previa contra clientes de Salesloft, desarrolladora de Drift, cuyo robo de tokens de autenticación permitió irrumpir en instancias vinculadas de Salesforce y extraer datos.
Salesforce negó vulnerabilidades en su plataforma. Gainsight, por su parte, trabaja con la unidad Mandiant de Google en un análisis forense y confirmó que el origen del incidente está relacionado con conexiones externas, no con fallas internas del sistema.
Como medida preventiva, Salesforce revocó temporalmente los tokens activos relacionados con las aplicaciones de Gainsight y notificó a los clientes afectados.
El grupo Scattered Lapsus$ Hunters anunció que lanzará un sitio web para extorsionar a las víctimas en los próximos días, estrategia que ya utilizó en ataques anteriores. Este colectivo —conformado por ShinyHunters, Scattered Spider y Lapsus$— es conocido por emplear tácticas de ingeniería social para infiltrarse en sistemas corporativos, con un historial de ataques que incluye a MGM Resorts, Coinbase y DoorDash.
