Google a confirmé qu'une vaste cyberattaque a volé les données de plus de 200 entreprises stockées par Salesforce. Les pirates n’ont pas forcé la porte d’entrée principale, mais sont passés par la fenêtre d’un fournisseur tiers, exposant ainsi des géants comme Malwarebytes ou LinkedIn à des vols de données critiques.
L’effet domino : de Salesloft à Gainsight
Le hacking révèle la fragilité des interconnexions logicielles. Selon le groupe de hackers Scattered Lapsus$ Hunters (une coalition comprenant ShinyHunters, Scattered Spider et Lapsus$), tout a commencé avec une précédente brèche chez Salesloft et sa plateforme Drift. En volant des jetons d'authentification lors de cette première offensive, les cybercriminels ont pu pénétrer dans les systèmes de Gainsight, fournisseur de solutions de support client.
Une fois en place chez Gainsight, ils ont eu accès aux instances Salesforce connectées de centaines de clients. Gainsight a admis avoir été « entièrement compromis » et travaille désormais avec Mandiant (l'unité de réponse aux incidents de Google) sur l'enquête. De son côté, Salesforce n'a pas tardé à préciser que sa propre plateforme ne souffrait d'aucune vulnérabilité, tout en révoquant l'accès aux applications Gainsight par mesure de précaution.
Chantage imminent et confusion parmi les victimes
La liste des cibles potentielles est vertigineuse. TechCrunch explique que sur Telegram, les hackers affirment avoir frappé des poids lourds comme Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters et Verizon. La réponse des entreprises est cependant mitigée : alors que Malwarebytes enquête activement, CrowdStrike nie fermement être concerné par l'affaire Gainsight, tout en révélant avoir licencié un employé soupçonné de fuites internes.
La pression ne fait que commencer. Fidèles à leur mode opératoire d'ingénierie sociale et de chantage, les hackers de Scattered Lapsus$ Hunters ont annoncé le lancement d'un site internet dédié dès la semaine prochaine. Ce sera l’occasion de publier les données volées pour extorquer les victimes, répétant le scénario catastrophe vécu par MGM Resorts ou Coinbase dans le passé.
