Kabar Buruk dari Google! Peretas Curi Data di Salesforce Milik Lebih dari 200 Perusahaan
Google telah mengonfirmasi bahwa peretas telah mencuri data yang disimpan di Salesforce milik lebih dari 200 perusahaan dalam peretasan rantai pasokan berskala besar.
Dilansir Techcrunch, Salesforce mengungkapkan pelanggaran "data Salesforce milik pelanggan tertentu" — tanpa menyebutkan nama perusahaan yang terdampak — yang dicuri melalui aplikasi yang diterbitkan oleh Gainsight, yang menyediakan platform dukungan pelanggan bagi perusahaan lain.
Dalam sebuah pernyataan, Austin Larsen, analis ancaman utama di Google Threat Intelligence Group, mengatakan bahwa perusahaan "mengetahui lebih dari 200 kasus Salesforce yang berpotensi terdampak."
Baca Juga: 26 Tahun Beroperasi, Internet Explorer Akhirnya Pensiun
Setelah Salesforce mengumumkan pelanggaran tersebut, kelompok peretas terkenal dan agak samar yang dikenal sebagai Scattered Lapsus$ Hunters, yang mencakup geng ShinyHunters, mengaku bertanggung jawab atas peretasan tersebut di kanal Telegram, yang telah dilihat oleh TechCrunch.
Perusahaan-Perusahaan Terdampak
Kelompok peretas tersebut mengaku bertanggung jawab atas peretasan yang memengaruhi Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters, dan Verizon.
Baca Juga: Google Hadirkan Gemini di Android Auto, Pengalaman Berkendara Makin Canggih
Google tidak akan berkomentar mengenai korban spesifik.
Juru bicara CrowdStrike, Kevin Benacci, mengatakan kepada TechCrunch dalam sebuah pernyataan bahwa perusahaan "tidak terpengaruh oleh masalah Gainsight dan semua data pelanggan tetap aman."
Foto: Allen Boguslavsky, pexels.comCrowdStrike mengonfirmasi kepada TechCrunch bahwa mereka telah menghentikan "orang dalam yang mencurigakan" karena diduga memberikan informasi kepada peretas.
TechCrunch menghubungi semua perusahaan yang disebutkan oleh Scattered Lapsus$ Hunters.
Juru bicara Verizon, Kevin Israel, mengatakan dalam sebuah pernyataan bahwa "Verizon mengetahui klaim yang tidak berdasar dari pelaku ancaman tersebut," tanpa memberikan bukti untuk klaim tersebut.
Juru bicara Malwarebytes, Ashley Stewart, mengatakan kepada TechCrunch bahwa tim keamanan perusahaan "mengetahui" masalah Gainsight dan Salesforce dan "sedang aktif menyelidiki masalah tersebut."
Juru bicara Thomson Reuters mengatakan perusahaan sedang "aktif menyelidiki."
Michael Adams, kepala petugas keamanan informasi di Docusign, mengatakan kepada TechCrunch dalam sebuah pernyataan bahwa "setelah analisis log yang komprehensif dan investigasi internal, kami tidak memiliki indikasi adanya peretasan data Docusign saat ini."
Namun, Adams mengatakan bahwa, "demi kehati-hatian, kami telah mengambil sejumlah langkah termasuk menghentikan semua integrasi Gainsight dan membatasi aliran data terkait."
Pada saat artikel ini diterbitkan, tidak ada perusahaan lain yang menanggapi permintaan komentar.
Peretas dari Grup ShinyHunters
Para peretas dari grup ShinyHunters mengatakan kepada TechCrunch dalam sebuah obrolan daring bahwa mereka mendapatkan akses ke Gainsight berkat kampanye peretasan mereka sebelumnya yang menargetkan pelanggan Salesloft, yang menyediakan platform pemasaran bertenaga AI dan chatbot bernama Drift.
Dalam kasus sebelumnya, para peretas mencuri token autentikasi Drift dari pelanggan tersebut, yang memungkinkan para peretas untuk membobol instans Salesforce mereka yang terhubung dan mengunduh kontennya.
Pada saat itu, Gainsight mengonfirmasi bahwa mereka termasuk di antara korban kampanye peretasan tersebut.
"Gainsight adalah pelanggan Salesloft Drift, mereka terdampak dan karenanya sepenuhnya dikompromikan oleh kami," ujar juru bicara grup ShinyHunters kepada TechCrunch.
Juru bicara Salesforce, Nicole Aranda, mengatakan kepada TechCrunch bahwa "sebagai kebijakan, Salesforce tidak mengomentari masalah spesifik pelanggan."
Gainsight tidak menanggapi permintaan komentar dari TechCrunch.
Pada hari Kamis, Salesforce mengatakan "tidak ada indikasi bahwa masalah ini disebabkan oleh kerentanan apa pun di platform Salesforce," yang secara efektif menjauhkan diri dari pelanggaran data pelanggannya.
Gainsight telah menerbitkan pembaruan tentang insiden tersebut di halaman insidennya. Pada hari Jumat, perusahaan tersebut mengatakan bahwa mereka sekarang bekerja sama dengan unit respons insiden Google, Mandiant, untuk membantu menyelidiki pelanggaran tersebut.
Salesforce Cabut Sementara Token Akses Aktif
"Salesforce telah mencabut sementara token akses aktif untuk aplikasi yang terhubung dengan Gainsight sebagai tindakan pencegahan sementara investigasi mereka terhadap aktivitas yang tidak biasa berlanjut," menurut halaman insiden Gainsight, yang menyatakan bahwa Salesforce sedang memberi tahu pelanggan terdampak yang datanya dicuri.
Di kanal Telegram-nya, Scattered Lapsus$ Hunters mengatakan berencana meluncurkan situs web khusus untuk memeras korban kampanye terbarunya minggu depan. Ini adalah modus operandi kelompok tersebut; pada bulan Oktober, para peretas juga menerbitkan situs web pemerasan serupa setelah mencuri data Salesforce korban dalam insiden Salesloft.
Scattered Lapsus$ Hunters adalah kolektif peretas berbahasa Inggris yang terdiri dari beberapa geng penjahat siber, termasuk ShinyHunters, Scattered Spider, dan Lapsus$, yang anggotanya menggunakan taktik rekayasa sosial untuk mengelabui karyawan perusahaan agar memberikan akses kepada peretas ke sistem atau basis data mereka.
Dalam beberapa tahun terakhir, kelompok-kelompok ini telah merenggut beberapa korban yang terkenal seperti MGM Resorts, Coinbase, DoorDash, dan lainnya.
Sumber: Techcrunch
