A Google megerősítette: hackerek több mint kétszáz vállalat Salesforce-ban tárolt adatait szerezték meg egy ellátási lánc támadás során, amely a bizalmi kapcsolatok sebezhetőségét használta ki.
Amikor a partnereid buktatnak meg
A Google megerősítette azt, amiről senki sem szívesen beszél a vállalati világban. Több mint kétszáz cég Salesforce-ban tárolt adatait lopták el hackerek egy olyan támadás során, amely nem a frontvonalat törte át, hanem a hátsó bejáratot használta. A hackerek nem magát a Salesforce-ot támadták meg, és nem is a célvállalatokat közvetlenül. Ehelyett egy ügyfélszolgálati platformot, a Gainsight-ot kompromittálták, amely számos nagyvállalat Salesforce rendszeréhez csatlakozott.
Ez nem egyszerű adatszivárgás. Ez egy ellátási lánc támadás, amely a modern digitális üzleti ökoszisztéma egyik legnagyobb gyengeségét használja ki: a bizalmi kapcsolatokat. Amikor egy vállalatnak partnerkapcsolata van egy másik céggel, és hozzáférést ad a saját rendszereihez, akkor implicit módon azt mondja: bízom benned. De mi van akkor, ha ez a partner megbukik? Mi van akkor, ha a partnered biztonsági hiányosságai révén hackerek jutnak be a te rendszereidbe?
Ezt történt most, és az érintettek listája nem mindennapi. Atlassian, CrowdStrike, Docusign, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters, Verizon. Ezek nem kis startupok, hanem globális technológiai óriások és biztonsági cégek. Igen, jól olvastad: olyan vállalatok is áldozattá váltak, amelyek épp azt ígérik másoknak, hogy megvédik őket a kibertámadásoktól.
Hogy történt ez?
A támadás mögött a Scattered Lapsus$ Hunters nevű hacker kollektíva áll, amely több hírhedt bűnözői csoport, köztük a ShinyHunters, a Scattered Spider és a Lapsus$ tagjaiból tevődik össze. Ez a csoport nem technikai zseniekkel, hanem szociális manipulációval (social engineering) dolgozik. Nem törnek be komplex biztonsági rendszereken keresztül, hanem egyszerűen megtévesztik a vállalatok alkalmazottait, hogy adjanak nekik hozzáférést.
A mostani támadás láncolata egyszerű, de hatásos volt. Először egy korábbi kampány során megtámadták a Salesloft ügyfeleit, amely egy MI-alapú marketing platformot, a Drift-et üzemelteti. Ebből a támadásból authentication tokeneket, vagyis hitelesítési kulcsokat loptak, amelyek lehetővé tették számukra, hogy belépjenek az áldozatok Salesforce rendszereibe. A Gainsight is a Salesloft ügyfele volt, így ők is kompromittálódtak.
Miután a hackerek hozzáfértek a Gainsight rendszeréhez, már könnyen tovább tudtak lépni. A Gainsight ugyanis több száz vállalat Salesforce rendszeréhez kapcsolódik, hiszen ügyfélszolgálati platformként működik. Így aki a Gainsight-hoz hozzáfér, az gyakorlatilag kulcsot kap a többi vállalat adataihoz is.
A vállalatok reakciója: tagadás, vizsgálat, óvatosság
A támadás nyilvánosságra kerülése után az érintett cégek vegyes válaszokat adtak. A CrowdStrike, amely biztonsági megoldásokat kínál, közölte, hogy őket nem érintette a probléma, és minden ügyféladata biztonságban van. Ezzel egyidejűleg azonban a cég elbocsátott egy gyanús belső alkalmazottat, aki állítólag információkat adott át hackereknek. Ez mintha kicsit ellentmondana a teljes biztonság narratívájának.
A Verizon úgy fogalmazott, hogy tudatában van a fenyegetés által tett megalapozatlan állításoknak, anélkül hogy bármiféle bizonyítékot szolgáltatna arra, hogy tényleg megalapozatlan lenne. A Malwarebytes és a Thomson Reuters aktívan vizsgálja az ügyet. A Docusign átfogó naplóelemzés után közölte, hogy jelenleg nincs jele adatkompromittálódásnak, de óvatosságból megszüntették az összes Gainsight integrációt és lezárták a kapcsolódó adatfolyamokat.
A Salesforce csütörtökön azt mondta, hogy nincs jele annak, hogy a probléma a Salesforce platformon belüli sebezhetőségből fakadt volna. Ezzel gyakorlatilag elhárítva magától a felelősséget. Pénteken a Gainsight közölte, hogy a Google incidenselhárító egységével, a Mandiant-tal dolgozik együtt a vizsgálaton. Megerősítette, hogy az incidens a külső kapcsolatokból származott, nem a Salesforce platformból. A Salesforce ideiglenesen visszavonta az aktív hozzáférési tokeneket a Gainsight-hoz kapcsolódó applikációknál, és értesíti azokat az ügyfeleket, akiknek az adatait ellopták.
Mi következik most?
A Scattered Lapsus$ Hunters csoport bejelentette, hogy jövő héten dedikált weboldalt indít, amelyen zsarolni fogják az áldozatokat. Ez a modus operandi nem új. Tavaly októberben már csináltak hasonlót a Salesloft incidensből származó Salesforce adatok után. A hackerek tehát nemcsak ellopják az adatokat, hanem nyilvánosan is zsarolni próbálják az érintett cégeket, nyomást gyakorolva rájuk, hogy fizessenek, különben közzéteszik az adatokat.
Ez a modell azért különösen veszélyes, mert kettős kárral jár. Egyrészt ott van az adatszivárgás maga, amely jogi, pénzügyi és reputációs következményekkel járhat. Másrészt ott van a nyilvános zsarolás, amely még inkább rontja a vállalatok imázsát, és további nyomást gyakorol rájuk. A hackerek tudják, hogy a cégek inkább fizetnek csendben, mint hogy szembenézzenek a nyilvános megbélyegzéssel és az ügyfeleik bizalmának elvesztésével.
A tanulság: nincs sziget a digitális térben
Ez az eset újra rámutat arra, amit a kiberbiztonság szakértői évek óta próbálnak elmagyarázni: a modern üzleti világban nincs olyan, hogy teljes elszigeteltség. Minden vállalat egy összekapcsolt hálózat része, ahol a partnerek, beszállítók, szolgáltatók és ügyfelek rendszerei mind össze vannak kötve. És ez a kapcsolódás sebezhetőséget jelent.
Lehet, hogy te megteszel mindent azért, hogy biztonságban légy. Lehet, hogy a legújabb technológiákat használod, képzed a dolgozóidat, és szigorú biztonsági protokollokat követsz. De ha a partnered nem teszi meg ugyanezt, akkor te is veszélyben vagy. A támadók ezt tudják, és ezt használják ki. Nem kell megtámadniuk a legerősebb védelmet, elég, ha megtalálják a leggyengébb láncszemet.
Ez nem azt jelenti, hogy ne dolgozz együtt másokkal, vagy ne használj külső szolgáltatásokat. De azt jelenti, hogy tudatosabban kell megválasztanod a partnereidet, és folyamatosan figyelned kell a biztonsági intézkedéseiket. A supply chain security, vagyis az ellátási lánc biztonsága ma már nem opció, hanem alapkövetelmény. És ez nem csak a technológiai cégekre vonatkozik, hanem minden vállalatra, amely digitális eszközöket használ.
A Scattered Lapsus$ Hunters esete azt is megmutatja, hogy a szociális manipuláció továbbra is az egyik leghatékonyabb támadási forma. Nem a legokosabb algoritmus töri át a védelmeket, hanem az emberi tényező. Egy megtévesztett alkalmazott, aki rossz helyre kattint, vagy rossz személynek ad hozzáférést, elég ahhoz, hogy az egész rendszer megbukjon. Ez pedig azt jelenti, hogy a technológiai védelem mellett az emberi tényezőre is figyelni kell: képzés, tudatosság, és egy olyan vállalati kultúra kialakítása, amely komolyan veszi a biztonságot.
Vajon a cégek levonják-e a tanulságot, vagy csak csendben fizetnek a hackereknek, és folytatják tovább, mintha mi sem történt volna? Mert az biztos: a Scattered Lapsus$ Hunters nem az utolsó olyan csoport, amely kihasználja a bizalmi láncok törékenységét.
