Nuovo il vettore d’attacco, la piattaforma Gainsight ma non le vulnerabilità di Salesforce, che ha subìto un nuovo data breach da parte del gruppo hacker criminale Scattered Spider.

Un altro data breach contro Salesforce, il terzo in pochi mesi e sempre da parte del gruppo hacker criminale Scattered Spider, noto anche come Scattered Lapsus$ Hunters. Questa volta, però, è cambiato il vettore di attacco, con l’impiego della piattaforma Gainsight.

Il rischio più grande è quello dell’esposizione e della vendita delle informazioni sensibili dei clienti. Secondo Google, infatti, i cybercriminali avrebbero rubato i dati di oltre 200 aziende.

Lo scorso 20 novembre Gainsight ha notificato ai suoi utenti “errori di connessione dovuti alla revoca dell’accesso attivo da parte di Salesforce per Gainsight SFDC Connector”. La stessa azienda – che offre servizi CRM – ha poi revocato tutti gli accessi alle sue applicazioni. Salesforce ha affermato che le applicazioni di Gainsight “potrebbero aver consentito l’accesso non autorizzato ai propri database”.

Proseguono le indagini

Secondo la Reuters, “non si è ancora stabilita la portata o la natura dell’incidente“. Tuttavia, “gli hacker criminali hanno ripetutamente sfruttato le integrazioni tra aziende di software-as-a-service come Salesforce e Gainsight per rubare dati“.

Tra le oltre 200 aziende coinvolte ci sono Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters e Verizon.

I rischi per gli utenti

Per le aziende che usano Salesforce, la reiterazione degli attacchi ha dimostrato i nuovi livelli del crimine informatico. Oltre alla protezione della piattaforma principale si afferma infatti la necessità di un monitoraggio delle applicazioni collegare e delle terze parti.

Secondo TechCrunch, i cybercriminali hanno spiegato che l’accesso è stato possibile utilizzando i token di autenticazione di Salesloft Drift. Inoltre, hanno comunicato che lanceranno un sito dedicato con i dati di tutte le aziende interessate. A fronte del mancato pagamento della somma richiesta, si potrebbe arrivare alla pubblicazione di tutte le informazioni.

Da parte sua, comunque, Salesforce non ha riscontrato delle vulnerabilità nella propria infrastruttura, ma episodi simili – oltre ai possibili danni economici – hanno un valore reputazionale. Sul mercato SaaS, operazioni del genere hanno mostrato una strategia sempre più sofisticata da parte dei cybercriminali. Questi ultimi preferirebbero sfruttare le connessioni e non cercare vulnerabilità profonde.