Google tire la sonnette d’alarme au sujet d’une grande fuite de données. Plus de 200 entreprises ont en effet vu leurs informations siphonnées durant une attaque ciblant des applications tierces connectées à Salesforce. L’opération, orchestrée par le gang ShinyHunters, vise à extorquer de l’argent aux victimes.
La semaine dernière, Salesforce révélait avoir été victime d’une fuite de données. L’entreprise américaine, spécialisée dans le développement de logiciels de gestion de la relation client, indiquait que les informations de « certains clients » ont été compromises. Pour s’emparer des données, les attaquants sont passés par « des applications publiées par Gainsight et connectées à Salesforce, qui sont installées et gérées directement par les clients ».
Les applications créées par Gainsight, un autre spécialiste des logiciels de gestion de la relation client, ont donc servi de porte d’entrée aux cybercriminels. Toute l’offensive reposait sur la « connexion externe de Gainsight à Salesforce », et « il n’y a aucune indication que ce problème résulte d’une quelconque vulnérabilité de la plateforme Salesforce », martèle Salesforce. Gainsight a vite confirmé un « problème de connexion à Salesforce » et précise que ses investigations sont toujours en cours.
Bien vite, un grand nom de la cybercriminalité a revendiqué l’attaque et menacé de publier les données volées. Sur son portail du dark web, le gang ShinyHunters prétend avoir volé les données de près d’un millier d’entreprises. Le groupe criminel cherche évidemment à négocier une rançon. En cas de refus, les données seront publiées en ligne.
À lire aussi : Gare aux WiFi publics – pourquoi Google conseille de ne jamais s’y connecter
Plus de 200 entreprises piratées
Quelques jours après le communiqué de Salesforce, les chercheurs du Google Threat Intelligence Group (GTIG) ont pu confirmer que les données de plus de 200 entreprises ont été siphonnées au cours de l’attaque. Austin Larsen, analyste principal des menaces, explique que Google a « connaissance de plus de 200 instances Salesforce potentiellement affectées ». On est loin des assertions de ShinyHunters, qui parle d’un millier de victimes.
Le gang n’a pas hésité à lister les victimes de la fuite sur son site. Sur la plateforme, le groupe prétend avoir mis la main sur les données d’Atlassian, de CrowdStrike, de Docusign, de F5, de GitLab, de Linkedin, de Malwarebytes, de SonicWall, de Thomson Reuters et de Verizon. Contacté par TechCrunch, Kevin Benacci, porte-parole de CrowdStrike, réfute les assertions du gang et affirme que l’entreprise « n’est pas concernée par le problème Gainsight et que toutes les données clients restent sécurisées ». De son côté, l’opérateur américain Verizon s’est simplement dit au courant des allégations de ShinyHunters. Même son de cloche du côté de Malwarebytes, qui assure avoir ouvert une enquête.
Ce n’est pas la première fois de l’année que Salesforce est impliqué dans une fuite de données d’ampleur. En juin, des pirates sont parvenus à compromettre un serveur Salesforce de Google en piégeant des employés. Les pirates ont ainsi exfiltré 2,55 millions d’informations sur des clients potentiels de Google Ads, la plateforme publicitaire de Google. Là encore, l’attaque a été orchestrée par les hackers de ShinyHunters, épaulés par d’autres membres de la coalition criminelle Scattered Lapsus$ Hunters. Deux mois plus tard, des hackers ont exploité des jetons OAuth compromis provenant de l’application Salesloft Drift pour accéder à des instances Salesforce et voler de grandes quantités de données d’entreprises.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.
Source :
TechCrunch