Взлом Salesforce может спровоцировать целую волну мошенничества. ФБР призывает компании проявлять осторожность.

Хакерская группа ShinyHunters предположительно похитила 1,5 миллиарда файлов у примерно 760 подразделений технологической компании Salesforce. Об этом сообщил технологический портал Bleeping Computer после прямого контакта с хакерами и собственного расследования. Теперь можно предвидеть, что хакеры будут использовать украденную информацию для дальнейших атак и вымогательства у пострадавших компаний.

Salesforce — один из крупнейших в мире поставщиков облачных услуг. Как и его немецкий конкурент SAP, Salesforce предлагает корпоративным клиентам программные решения для управления данными о продажах и контактами с клиентами. В их число входит платформа, на которой продавцы могут фиксировать, когда и о чём они общались с теми или иными клиентами.

Такие платформы, как Salesforce, считаются особенно привлекательными целями для хакерских атак, поскольку они хранят огромный объём информации компаний об их деловых партнёрах, говорит Том Шонс, глава консалтинговой компании Cyberfy Consulting. «Например, если хакер знает, о чём продавец компании A в последний раз говорил с покупателем компании B, он может выгодно продать эту информацию в даркнете, возможно, компании-конкуренту C, что может сделать покупателю особенно выгодное предложение», — объясняет Шонс.

Такие данные также могут быть использованы для фишинга: «Благодаря украденной инсайдерской информации мошенники выглядят более убедительно. Это может заставить компании совершать мошеннические платежи», — предупреждает Шонс. Это может произойти, например, если хакер выдаёт себя за продавца компании A, обещая покупателю компании B выгодную сделку и требуя предоплату. Такие атаки, в которых злоумышленник выдаёт себя за законного представителя, называются атаками социальной инженерии.

Взлом сделал тысячи компаний потенциально уязвимыми для подобных атак. А именно, все те, кто контактировал с 760 компаниями, чьи данные Salesforce были украдены на данный момент. Пока неизвестно, пострадали ли также швейцарские или немецкие компании.

Bleeping Computer восстановил успешность атаки, основываясь на заявлениях хакеров, которые стремились укрепить свой авторитет и репутацию, демонстрируя свою техническую компетентность, а также на данных Google Analytics . Согласно отчёту, хакеры проникли в Salesloft в марте прошлого года. Salesloft — независимая от Salesforce компания, которая дополняет основную систему Salesforce, среди прочего, чат-ботом на основе искусственного интеллекта, получая таким образом доступ к данным клиентов.

Хакеры предположительно украли код Salesloft и искали коммерческие тайны. Среди прочего, они обнаружили секретные ключи, используемые чат-ботом для входа в Salesforce. Используя этот логин, хакеры смогли получить доступ к данным клиентов Salesforce, которые использовали чат-бот Salesloft. Это позволяет квалифицировать атаку как «атаку на цепочку поставок», поскольку она была осуществлена ​​не напрямую через портал Salesforce, а через Salesloft, отдельную платформу, расположенную выше по цепочке.

По данным Bleeping Computer, среди пострадавших от взлома оказались Google и компании, занимающиеся информационной безопасностью, Cloudflare, Zscaler, Tenable, Cyber ​​Ark, Beyond Trust, Proofpoint и Palo Alto Networks. В Google хакерам удалось проникнуть на платформу, через которую правоохранительные органы запрашивают информацию о преступниках.

Компания Google подтвердила Bleeping Computer, что на платформе была создана мошенническая учетная запись, но она была деактивирована до того, как смогла нанести какой-либо ущерб.

В связи с масштабом взлома ФБР выпустило предупреждение с подробным описанием методов, которые злоумышленники использовали в предыдущих случаях для получения доступа к системам Salesforce компаний. Согласно отчёту, хакеры звонили на коммутаторы жертв, выдавая себя за коллег из ИТ-отдела. Под видом устранения неполадок с подключением хакеры получали учётные данные реальных сотрудников.

Salesforce и Salesloft в настоящее время игнорируют запросы СМИ о взломе, в том числе от NZZ. Однако Salesforce ссылается на заявление о том, что пострадавшие клиенты были уведомлены, а приложение с уязвимостью деактивировано.