Gegevens van meer dan 200 bedrijven zijn gestolen tijdens een grootschalige supply‑chain‑aanval die wordt gelinkt aan apps ontwikkeld door Gainsight, zo blijkt uit nieuwe berichtgeving van TechCrunch en een beveiligingsupdate van Salesforce. Vorige week maakte Salesforce bekend dat hackers toegang hadden gekregen tot “gegevens van bepaalde klanten” via door klanten beheerde Gainsight‑applicaties. Google’s Threat Intelligence Group bevestigde later dat mogelijk meer dan 200 Salesforce‑instellingen zijn getroffen.
De hackinggroep Scattered Lapsus$ Hunters, waar ook leden van ShinyHunters deel van uitmaken, claimde via een Telegram‑kanaal de verantwoordelijkheid. Volgens de groep behoren Atlassian, GitLab, Verizon, SonicWall en verschillende andere grote bedrijven tot de slachtoffers. Sommige bedrijven, waaronder CrowdStrike en Docusign, meldden geen bewijs te hebben gevonden van een datalek, maar onderzoeken de situatie en hebben uit voorzorg hun Gainsight‑integraties uitgeschakeld. Andere bedrijven, zoals Thomson Reuters en Malwarebytes, gaven aan dat hun onderzoek nog loopt.
ShinyHunters vertelde TechCrunch dat ze toegang kregen via een eerdere breach bij Salesloft’s Drift‑platform, waarmee ze authenticatietokens hadden gestolen en die vervolgens gebruikten om binnen te dringen in verbonden Salesforce‑omgevingen, waaronder die van Gainsight. Salesforce herhaalde dat het incident niet is veroorzaakt door een kwetsbaarheid in het eigen platform. Gainsight heeft zich nog niet publiekelijk uitgelaten, maar meldde op een statuspagina dat het samenwerkt met Mandiant (eigendom van Google) voor een volledig forensisch onderzoek en dat de breach is ontstaan via een externe app‑verbinding. De aanvallers zeggen een afpersingssite te lanceren om druk op de slachtoffers uit te oefenen.
