CrowdStrike demite funcionário acusado de compartilhar imagens internas da tela.

A empresa americana de cibersegurança CrowdStrike, com sede no Texas, teria demitido um funcionário acusado de vazar informações internas para um grupo de cibercriminosos que recentemente reivindicou a responsabilidade por violações de segurança corporativas envolvendo sistemas conectados à Salesforce. 

A empresa de segurança demitiu o "informante" depois de descobrir que ele trabalhava com o grupo conhecido como Scattered Lapsus$ Hunters, que começou a publicar supostas capturas de tela internas na noite de quinta-feira e na manhã de sexta-feira em seu canal do Telegram.

O grupo Scattered Lapsus$ divulgou diversas imagens mostrando painéis de controle vinculados a recursos da empresa, incluindo painéis do Okta usados por funcionários para acessar aplicativos internos. Os hackers alegaram que as capturas de tela foram obtidas do funcionário afetado e comprovam que eles haviam se infiltrado com sucesso na CrowdStrike após invadirem a Gainsight no início da semana.

A CrowdStrike e a Gainsight ainda estão investigando informações roubadas.

Segundo a CrowdStrike, as alegações do grupo de hackers e as imagens no Telegram pertenciam apenas a um funcionário que havia compartilhado fotos não autorizadas de sua tela com terceiros, e a empresa insiste que não houve nenhuma violação em seus sistemas. 

“Nossos sistemas nunca foram comprometidos e os clientes permaneceram protegidos durante todo o período”, disse ao site de notícias TechCrunch. Ele acrescentou que a empresa “encaminhou o caso às autoridades competentes” após bloquear o acesso do funcionário.

A CrowdStrike afirmou ter empacotado a mesa do funcionário assim que foi confirmado que ele "compartilhou fotos da tela do seu computador externamente", e que as alegações que circulavam em canais de hackers eram "falsas".

A Salesforce confirma violação de dados de clientes.

Na manhã de sexta-feira, a Salesforce atualizou sua páginadent , informando que uma violação de segurança estava afetando alguns de seus clientes, causando "falhas de conexão". Atores não autorizados acessaram "dados da Salesforce de determinados clientes", embora a empresa não tenhadentquais organizações foram afetadas. 

A Salesforce afirmou que a intrusão ocorreu por meio de aplicativos desenvolvidos pela Gainsight, provedora de serviços de suporte ao cliente e análise de dados.

Mais tarde, Austin Larsen, analista principal de ameaças do Grupo de Inteligência de Ameaças do Google e membro da divisão de cibersegurança da empresa, afirmou que a companhia "tem conhecimento de mais de 200 instâncias do Salesforce potencialmente afetadas". 

O grupo Scattered Lapsus$ Hunters assumiu publicamente a responsabilidade pelo acesso a dados através das integrações da Gainsight e usou informações roubadas para atacar outros clientes corporativos.

Um porta-voz da ShinyHunters, um dos grupos dentro do coletivo, vangloriou-se de que "a Gainsight era cliente da Salesloft Drift, foi afetada e, portanto, totalmente comprometida por nós". 

Desde que o ataque se tornou público, a Gainsight vem publicando atualizações em sua páginadent . Na sexta-feira, a empresa informou que contratou a Mandiant, unidade de resposta adent do Google, para auxiliar na investigação da violação. 

De acordo com as atualizações públicas da empresa, a Salesforce também revogou temporariamente os tokens de acesso ativos para aplicativos conectados ao Gainsight como medida de precaução, além de notificar os clientes cujos dados foram roubados. 

“Clientes que usam o Hubspot podem notar que o aplicativo Gainsight foi temporariamente removido do Hubspot Marketplace como medida de precaução. Isso também pode afetar o acesso OAuth para conexões de clientes enquanto a revisão estiver em andamento. Trabalharemos com o Hubspot para que o aplicativo seja republicado após uma análise completa”, observou um relatório de progresso publicado na quinta-feira.

A família de tokens Lapsus$ dispersa é responsável por diversas violações de segurança de alto perfil.

O Scattered Lapsus$ Hunters é uma colaboração formada por diversos grupos de cibercriminosos de língua inglesa, incluindo ShinyHunters, Scattered Spider e Lapsus$. O coletivo ficou conhecido por usar técnicas de engenharia social para enganar funcionários e obter acesso remoto, ou para aprovar solicitações de autenticação. 

Em sua lista de "conquistas", o grupo já teve como alvo empresas como MGM Resorts, Coinbase, DoorDash, Workday, Aflac Insurance e outras grandes corporações. Em outubro, o grupo Scattered Lapsus$ Hunters alegou ter roubado mais de um bilhão de registros de empresas que utilizam o Salesforce para gerenciar informações de clientes.

Eles publicaram uma lista telefônica vazada com dados da seguradora Allianz Life, da companhia aérea Qantas, da montadora Stellantis, da TransUnion, da plataforma de gestão de funcionários Workday e muito mais.

Ao longo do último ano e meio, a família Scattered Lapsus$ também reivindicou a responsabilidade pordentcontra a Atlassian, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters e Verizon. 

Os hackers disseram em seu canal no Telegram que planejam lançar um novo site de extorsão na próxima semana para as empresas atingidas em sua última operação. 

"O próximo site de vazamento de dados conterá os dados das campanhas da Salesloft e da GainSight", compartilharam os hackers com o DataBreaches.net.

Aprimore sua estratégia com mentoria + ideias diárias - 30 dias de acesso gratuito ao nosso programa de negociação