Salesforce y Crowdstrike revelan incidentes de seguridad vinculados al mismo grupo

Salesforce emitió una alerta de seguridad sobre actividad inusual relacionada con las aplicaciones de Gainsight,instaladas y gestionadas directamente por sus clientes.

Imagen: Pexels

Salesforce y CrowdStrike se han visto recientemente envueltos en incidentes de seguridad interconectados que,de acuerdo con las denuncias,apuntan al mismo colectivo de hackers conocidos como Scattered LAPSUS$ Hunters.

De acuerdo con las compañías,el ataque se centra en una aparente brecha de seguridad a través de aplicaciones de terceros,Gainsight,que se conectan a la plataforma Salesforce. Mientras Salesforce ha confirmado actividad inusual y una posible fuga de datos de clientes,CrowdStrike ha negado rotundamente la brecha,aunque admitió haber despedido a un empleado debido al incidente.

Salesforce emitió una alerta de seguridad sobre actividad inusual relacionada con las aplicaciones de Gainsight instaladas y gestionadas directamente por sus clientes.

“Nuestra investigación indica que esta actividad pudo haber permitido el acceso no autorizado a los datos de Salesforce de ciertos clientes a través de la conexión de la aplicación.

“Tras detectar la actividad,Salesforce revocó todos los tokens de acceso y de actualización (refresh tokens) activos asociados a las aplicaciones publicadas por Gainsight conectadas a Salesforce y retiró temporalmente dichas aplicaciones de la AppExchange mientras continúa nuestra investigación”,publicó Salesforce.

Por su parte,el grupo Scattered LAPSUS$ Hunters ha presumido de haber orquestado una “mega-brecha” que supuestamente permitió robar datos de casi 300 organizaciones. Este colectivo,compuesto por varios grupos de hackers como ShinyHunters,Scattered Spider y Lapsus$,utiliza frecuentemente técnicas de ingeniería social para engañar a empleados y obtener acceso a sistemas.

En octubre pasado,el mismo grupo afirmó haber sustraído más de mil millones de registros de empresas que dependen de Salesforce para alojar datos de sus clientes.

La controversia se intensificó cuando los hackers afirmaron haber logrado comprometer a la empresa de ciberseguridad CrowdStrike utilizando información robada de Gainsight. Sin embargo,CrowdStrike desmintió categóricamente las acusaciones de una brecha,afirmando que sus sistemas nunca fueron comprometidos y que sus clientes permanecieron protegidos.

Sin embargo,la compañía de seguridad confirmó el despido de un “empleado sospechoso” el mes pasado por,presuntamente,compartir imágenes de su pantalla de trabajo externamente,entregando el caso a las autoridades pertinentes.