IT之家 11 月 23 日消息，谷歌证实，黑客通过大规模供应链攻击窃取了储存在 Salesforce 平台上的逾 200 家企业的数据。

周四，Salesforce 公司披露其部分客户的 Salesforce 数据遭遇泄露，但未公开具体受影响企业名单，相关数据系通过 Gainsight 公司发布的应用程序被窃取。Gainsight 是一家为企业提供客户支持平台的服务商。

谷歌威胁情报团队（Google Threat Intelligence Group）首席威胁分析师奥斯汀・拉尔森（Austin Larsen）在一份声明中表示，谷歌“已确认有超过 200 个 Salesforce 实例可能受到此次事件影响”。

在 Salesforce 宣布数据泄露后，臭名昭著且身份模糊的黑客组织“Scattered Lapsus$ Hunters”（其中包含 ShinyHunters 团伙）在一个 Telegram 频道中宣称对此次攻击负责。

该黑客组织还声称，其攻击波及 Atlassian、CrowdStrike、DocuSign、F5、GitLab、LinkedIn、Malwarebytes、SonicWall、汤森路透（Thomson Reuters）和 Verizon 等企业。谷歌方面拒绝对具体受害企业置评。

CrowdStrike 发言人凯文・贝纳奇（Kevin Benacci）向 TechCrunch 表示：“我司未受 Gainsight 相关事件影响，所有客户数据均保持安全。”不过，CrowdStrike 同时证实，已解雇一名“可疑内部人员”，因其涉嫌向黑客泄露信息。

Verizon 发言人凯文・以色列（Kevin Israel）称：“Verizon 已注意到该威胁行为者提出的未经证实的说法”，但未提供进一步证据支持该说法。

Malwarebytes 发言人阿什利・斯图尔特（Ashley Stewart）表示，公司安全部门“已知悉 Gainsight 与 Salesforce 相关事件，并正积极展开调查”。

汤森路透一名发言人则称，公司“正在积极调查此事”。

DocuSign 首席信息安全官迈克尔・亚当斯（Michael Adams）表示：“经全面日志分析与内部调查，截至目前，我们未发现 DocuSign 数据遭到泄露的证据。”但他补充道：“出于高度审慎考虑，我司已采取多项措施，包括终止所有 Gainsight 集成服务，并阻断相关数据流。”

ShinyHunters 团伙成员在与 TechCrunch 的线上对话中透露，其之所以能入侵 Gainsight，得益于此前针对 Salesloft 客户的攻击行动。Salesloft 是一家提供由 AI 与聊天机器人驱动的营销平台“Drift”的公司。在该起早期事件中，黑客成功窃取了这些客户持有的 Drift 认证令牌，进而突破其关联的 Salesforce 实例并下载其中数据。

当时，Gainsight 已确认自身系该攻击事件的受害者之一。

ShinyHunters 的一名发言人表示：“Gainsight 是 Salesloft Drift 的客户，其因此次事件受到波及，并被我们彻底攻陷。”

Salesforce 发言人妮可・阿拉恩达（Nicole Aranda）回应称：“依据公司政策，Salesforce 不对具体客户事件发表评论。”

Gainsight 未回应置评请求。

周四，Salesforce 发布声明称：“目前无任何迹象表明此次事件源于 Salesforce 平台自身存在漏洞”，实质上将责任与客户数据泄露进行了切割。

Gainsight 已在其事件通报页面持续更新进展。周五，该公司表示，目前已协同谷歌旗下事件响应单位 Mandiant 展开联合调查；此次事件“源于相关应用程序的外部连接环节，而非 Salesforce 平台本身的任何问题或漏洞”；“全面且独立的取证分析仍在持续进行中”。

Gainsight 的事件页面还指出：“作为预防性措施，Salesforce 已临时撤销所有 Gainsight 关联应用程序的有效访问令牌，同时其对异常活动的调查仍在继续。”该页面补充称，Salesforce 正在通知那些数据已被窃取的受影响客户。

Scattered Lapsus$ Hunters 在其 Telegram 频道中宣称，计划于下周推出专属网站，用以勒索此次攻击行动的受害者，这已是该组织惯用手法；今年 10 月，该团伙在 Salesloft 攻击事件中窃取受害者 Salesforce 数据后，亦曾上线类似勒索网站。

据IT之家了解，Scattered Lapsus$ Hunters 是一个由多个英语系网络犯罪团伙组成的松散联盟，成员包括 ShinyHunters、Scattered Spider 及 Lapsus$ 等组织。其成员惯于利用社会工程学手段，诱骗企业员工授予其对内部系统或数据库的访问权限。近数年间，这些团体已宣称成功攻击多家知名企业，包括美高梅国际酒店集团（MGM Resorts）、Coinbase、DoorDash 等。