Хакеры украли данные более 200 компаний

Home Хакеры украли данные более 200 компаний
взлом salesforce

Хакеры украли данные более 200 компаний через взлом Gainsight: Как работает современная кибератака через цепочку поставщиков

Google подтвердил, что хакеры украли данные более чем у 200 компаний в результате масштабной кибератаки через цепочку поставщиков. Злоумышленники получили доступ к информации, которая хранилась в системе Salesforce, через взлом приложения Gainsight.

В четверг компания Salesforce сообщила об утечке данных своих клиентов, не раскрывая, какие именно компании пострадали. Проблема возникла из-за того, что хакеры взломали приложения от компании Gainsight, которая предоставляет платформу для работы с клиентами другим бизнесам.

Как это работает на практике:

Представьте, что Gainsight — это как управляющая компания, у которой есть ключи от всех квартир в доме. Хакеры украли эти ключи и спокойно зашли в сотни “квартир” (компаний), взяв оттуда всё ценное. При этом сам “дом” (Salesforce) не был взломан — проблема была в украденных ключах.

Остин Ларсен, главный аналитик по киберугрозам из Google, сообщил, что компания знает о более чем 200 потенциально взломанных систем Salesforce.

Кто стоит за атакой:

После объявления Salesforce об утечке, известная хакерская группировка Scattered Lapsus$ Hunters, в состав которой входит банда ShinyHunters, взяла на себя ответственность за взлом в своём Telegram-канале.

Хакеры заявили, что взломали такие компании как Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters и Verizon.

Этот случай показывает серьёзную проблему современной корпоративной безопасности: когда взламывают одного поставщика услуг, под угрозой оказываются сотни его клиентов одновременно.

Как работала схема взлома: Цепная реакция от одной уязвимости

Первый шаг: Взлом Salesloft

Хакеры из группы ShinyHunters рассказали в интервью, что получили доступ к Gainsight благодаря предыдущей атаке на компанию Salesloft, которая предоставляет маркетинговую платформу с искусственным интеллектом под названием Drift.

Что случилось тогда:

В той первой атаке хакеры украли специальные “пропуска” (токены аутентификации) от клиентов Drift. Эти пропуска позволили злоумышленникам зайти в подключенные системы Salesforce и скачать оттуда всю информацию.

В то время Gainsight подтвердила, что тоже стала жертвой этой хакерской кампании.

Второй шаг: Использование украденных данных

“Gainsight была клиентом Salesloft Drift, они пострадали и поэтому были полностью скомпрометированы нами”, — сообщил представитель группы ShinyHunters.

Вот как это произошло пошагово:

Март 2025 года — начало:

  • Хакеры взломали аккаунт Salesloft на GitHub (платформа для разработчиков)
  • Украли пароли и ключи доступа к системам
  • Изучили, кто является клиентами Salesloft и к каким данным у них есть доступ

Август 2025 года — первая волна:

  • Используя украденные “пропуска”, зашли в системы клиентов Drift
  • Получили доступ примерно к 760 системам Salesforce
  • Украли 1,5 миллиарда записей, включая пароли и ключи доступа
  • Среди украденного нашли данные доступа к Gainsight

Сентябрь-октябрь 2025 года — проникновение в Gainsight:

  • Использовали украденные данные Gainsight из предыдущего взлома
  • Получили доступ к инфраструктуре Gainsight
  • Забрали специальные ключи для доступа к системам более 200 клиентов Salesforce

Октябрь-ноябрь 2025 года — массовая кража:

  • Систематически заходили в системы Salesforce, используя ключи от Gainsight
  • Скачивали информацию о клиентах, контакты, данные о продажах
  • Забирали историю обращений в поддержку и другую конфиденциальную информацию
  • Собирали ещё больше паролей для дальнейших атак

Ноябрь 2025 года — подготовка к шантажу:

  • В своём Telegram-канале хакеры объявили, что на следующей неделе запустят специальный сайт для шантажа жертв
  • Это стандартная схема работы этой группировки

Какие компании пострадали и что они говорят

Список компаний, которых назвали хакеры

Преступная группировка заявила об атаках на следующие компании:

Atlassian (софт для бизнеса)

  • Статус: Не подтверждено
  • Возможная утечка: Данные клиентов, обращения в поддержку, информация об использовании продуктов

CrowdStrike (кибербезопасность)

  • Статус: Отрицают взлом
  • Официальное заявление: “Не затронуты проблемой Gainsight, все данные клиентов в безопасности”
  • Интересный факт: Компания уволила “подозрительного инсайдера” за передачу информации хакерам

DocuSign (электронные подписи)

  • Статус: Проводят расследование
  • Возможная утечка: Договоры, процессы подписания, контакты клиентов

Verizon (телекоммуникации)

  • Статус: Называет заявления “неподтверждёнными”
  • Официально: “Verizon знает о необоснованном заявлении злоумышленников”

Malwarebytes (кибербезопасность)

  • Статус: Активно расследует
  • Официально: Команда безопасности “в курсе” проблем с Gainsight и Salesforce

Thomson Reuters (юридическая и финансовая информация)

  • Статус: Активно расследует инцидент

Другие компании: F5, GitLab, LinkedIn, SonicWall — не ответили на запросы о комментариях.

Масштаб проблемы: 200+ организаций

Хотя публично названы только несколько громких имён, Google знает о более чем 200 потенциально взломанных системах Salesforce.

Кто наиболее вероятно пострадал:

По типу бизнеса:

  • IT-компании и разработчики софта, использующие Gainsight для отслеживания использования продуктов
  • Финансовые организации с программами работы с клиентами
  • Компании из сферы здравоохранения, отслеживающие взаимодействие с пациентами
  • Профессиональные сервисные компании, управляющие отношениями с клиентами
  • Производители со сложными системами поддержки клиентов

По размеру:

  • Средние и крупные компании (обычно от 500 сотрудников)
  • Организации со зрелыми процессами работы с клиентами
  • Бизнесы со сложными настройками Salesforce
  • SaaS-компании, отслеживающие активность пользователей

Что украли хакеры: Какие данные под угрозой

Информация о клиентах:

  • Контакты: имена, email, телефоны, должности
  • История взаимодействия: все переписки, звонки, встречи
  • Структура компаний: кто принимает решения, кто влияет на покупку
  • Финансовые данные: условия контрактов, цены, даты продления

Коммерческие секреты:

  • Стратегии продаж и методики работы с клиентами
  • Данные о конкурентах: почему выигрываем или проигрываем сделки
  • Планы развития продуктов
  • Информация о партнёрах и каналах продаж

Операционные данные:

  • Прогнозы продаж и планируемая выручка
  • Метрики использования продуктов
  • История обращений в техподдержку с описанием проблем
  • Оценки “здоровья” клиентов и риски оттока

Кто такие хакеры: Портрет современных киберпреступников

Scattered Lapsus$ Hunters: Коллектив профессионалов

Scattered Lapsus$ Hunters — это объединение англоговорящих хакеров, состоящее из нескольких криминальных групп, включая ShinyHunters, Scattered Spider и Lapsus$. Участники используют методы социальной инженерии, чтобы обманом заставить сотрудников компаний дать хакерам доступ к их системам или базам данных.

Три банды в одной:

ShinyHunters — специалисты по краже баз данных:

  • Мотивация: Деньги
  • Специализация: Взлом баз данных, кража данных доступа, эксплуатация API
  • История: Взламывали Microsoft, AT&T и множество других крупных компаний
  • Методы: Создают сайты для утечек, шантажируют компании, продают украденное

Scattered Spider — мастера обмана:

  • Специализация: Социальная инженерия (обман людей)
  • Тактика: Звонят в техподдержку компаний, притворяясь сотрудниками
  • Известные жертвы: MGM Resorts, Caesars Entertainment (казино)
  • Особенность: Молодые участники с продвинутыми техническими навыками

Lapsus$ — агрессивные шантажисты:

  • Фокус: Вымогательство денег
  • Стиль работы: Публичные объявления в Telegram
  • Жертвы: Okta, Microsoft, Nvidia, Samsung
  • Почерк: Наглые публичные заявления о взломах

Как они работают: Схема атаки

1. Первоначальное проникновение:

  • Взлом аккаунтов на GitHub для кражи паролей и ключей
  • Обман сотрудников техподдержки через социальную инженерию
  • Фишинг (поддельные письма) для администраторов
  • SIM-свопинг (перехват номера телефона) для обхода двухфакторной аутентификации
  • Подкуп инсайдеров или покупка информации

2. Закрепление в системе:

  • Кража специальных ключей доступа (OAuth токенов)
  • Создание скрытых учётных записей
  • Сбор паролей для долгосрочного доступа
  • Установка позиций в цепочке поставщиков
  • Поддержание нескольких путей доступа одновременно

3. Кража данных:

  • Массовые запросы через API, выглядящие как обычная работа приложения
  • Постепенная выкачка данных, чтобы не вызвать подозрений
  • Сжатие и подготовка данных перед отправкой
  • Использование обычных облачных хранилищ для временного размещения
  • Шифрование украденного, чтобы системы защиты не заметили

4. Шантаж: Это стандартная схема работы группы; в октябре хакеры уже публиковали похожий сайт для вымогательства после кражи данных жертв Salesforce в инциденте с Salesloft.

Методы давления:

  • Создание публичного сайта с угрозой публикации данных
  • Частные требования выкупа к каждой жертве отдельно
  • Постепенная публикация данных для усиления давления
  • Продажа украденного на чёрном рынке
  • Репутационный урон через публичное объявление о взломе

История преступлений группы

За последние несколько лет эти группы заявили о нескольких громких жертвах, таких как MGM Resorts, Coinbase, DoorDash и других.

Известные атаки:

  • MGM Resorts (сентябрь 2023): Убытки более $100 млн
  • Coinbase (2023): Кража данных сотрудников
  • DoorDash (2022): Утечка данных клиентов через Twilio
  • Okta (2022): Взлом сервиса аутентификации
  • Nvidia (2022): Кража исходного кода и паролей

Что говорят компании: Официальные заявления

Позиция Salesforce: “Мы не виноваты”

В четверг Salesforce заявила, что “нет никаких признаков того, что эта проблема возникла из-за какой-либо уязвимости в платформе Salesforce”, фактически дистанцируясь от утечек данных своих клиентов.

Что сделал Salesforce:

“Salesforce временно отозвал активные токены доступа для приложений, подключённых к Gainsight, в качестве меры предосторожности, пока их расследование необычной активности продолжается”, согласно странице инцидента Gainsight, где также говорится, что Salesforce уведомляет затронутых клиентов, чьи данные были украдены.

Критический взгляд на ответственность:

Хотя технически верно, что сама платформа Salesforce не была взломана, это заявление игнорирует системные проблемы:

  • Архитектура доступа позволяет сторонним приложениям получать широкий доступ к данным по дизайну
  • Недостаточный мониторинг необычных паттернов использования API
  • Отсутствие поведенческой аналитики для обнаружения массовой выкачки данных
  • Ограниченная видимость для клиентов о действиях сторонних приложений
  • Недостаточные инструменты для клиентов по аудиту разрешений подключённых приложений

Реакция Gainsight: Расследование с Mandiant

Gainsight публикует обновления об инциденте на своей странице статуса. В пятницу компания сообщила, что теперь работает с подразделением реагирования на инциденты Google — Mandiant — для помощи в расследовании взлома.

Официальная позиция Gainsight:

Инцидент “возник из внешнего подключения приложений — а не из-за какой-либо проблемы или уязвимости в платформе Salesforce”, и что “продолжается криминалистический анализ в рамках всестороннего и независимого обзора”.

Хронология реагирования:

  • Фактический взлом: Сентябрь-октябрь 2025 (оценочно)
  • Публичное раскрытие: Вызвано уведомлением Salesforce 20 ноября 2025
  • Привлечение Mandiant: 22 ноября 2025
  • Продолжается: Криминалистическое расследование и уведомление клиентов

Вопросы к безопасности Gainsight:

Критические пробелы в системе защиты:

  • Не смогли обнаружить взлом, несмотря на то что сами были жертвой Salesloft
  • Недостаточная изоляция ключей доступа клиентов
  • Неадекватный мониторинг использования токенов аутентификации
  • Запоздалое обнаружение позволило хакерам иметь доступ месяцами
  • Ограниченная прозрачность о первопричине и временных рамках

Как защитить свою компанию: Практические рекомендации

Шаг 1: Срочная проверка подключённых приложений

Что нужно сделать прямо сейчас:

Провести инвентаризацию:

  • Зайти в настройки Salesforce → Приложения → Подключённые приложения
  • Составить список всех приложений с доступом к данным
  • Проверить, когда каждое приложение последний раз использовалось
  • Определить, какие данные может читать каждое приложение

Отключить неиспользуемое:

  • Удалить приложения, которые не использовались больше 90 дней
  • Отозвать доступ у тестовых и демо-приложений
  • Отключить интеграции с поставщиками, с которыми больше не работаете

Ограничить права доступа:

Принцип минимальных привилегий:
- Если приложению нужны только контакты — не давайте доступ к сделкам
- Если нужны данные только для чтения — запретите изменения
- Если приложение работает с одним отделом — ограничьте доступ только его данными

Шаг 2: Настроить мониторинг необычной активности

Система раннего предупреждения:

Что отслеживать:

  • Резкое увеличение числа запросов от приложения (в 2-3 раза больше обычного)
  • Массовая выгрузка данных (более 100 тысяч записей за раз)
  • Доступ с необычных IP-адресов или из других стран
  • Попытки доступа к данным, которые приложение раньше не запрашивало
  • Активность в нерабочее время (ночью, в выходные)

Автоматические реакции:

  • При обнаружении подозрительной активности — автоматически заблокировать доступ
  • Немедленно уведомить команду безопасности
  • Сохранить все логи для последующего анализа
  • Начать процедуру реагирования на инцидент

Шаг 3: Оценка безопасности поставщиков

Перед подключением нового приложения проверить:

Сертификаты и аудиты:

  • Есть ли актуальный сертификат SOC 2 Type II (не старше года)
  • Проводят ли регулярное тестирование на проникновение
  • Есть ли план реагирования на инциденты
  • Шифруют ли данные при хранении и передаче
  • Как быстро обязуются сообщать об утечках (желательно в течение 24 часов)

Практические вопросы:

  • Как хранятся токены доступа?
  • Есть ли изоляция данных разных клиентов?
  • Какой у вас был последний инцидент безопасности и как вы отреагировали?
  • Можем ли мы провести аудит безопасности?
  • Есть ли у вас киберстрахование?

Непрерывный мониторинг:

python

# Простая схема проверки поставщика
проверка_поставщика = {
    'публичные_утечки': 'Проверить базы данных утечек',
    'рейтинги_безопасности': 'SecurityScorecard, BitSight',
    'новости': 'Мониторинг новостей об инцидентах',
    'dark_web': 'Поиск утёкших паролей сотрудников',
    'github': 'Сканирование публичных репозиториев',
    'сертификаты': 'Проверка актуальности'
}

Шаг 4: Защита на уровне данных

Многослойная защита:

Уровень сети:

  • API-шлюз с проверкой запросов
  • Системы предотвращения утечек (DLP) для сканирования ответов
  • Географические ограничения доступа
  • Защита от атак на веб-приложения (WAF)

Уровень приложения:

  • Шифрование особо важных полей
  • Замена реальных данных на токены (tokenization)
  • Маскирование данных в тестовых средах
  • Ограничения на размер результатов запросов
  • Ограничения на экспорт данных

Уровень данных:

  • Контроль доступа на уровне столбцов
  • Политики безопасности на уровне строк
  • Журналирование всех обращений к данным
  • Регулярные проверки прав доступа

Шаг 5: План реагирования на инциденты

Подготовка до того, как что-то случится:

Документированный план:

  1. Кто принимает решения в случае инцидента
  2. Как быстро можно отключить доступ (цель: в течение 15 минут)
  3. Кого уведомлять (руководство, юристы, клиенты, регуляторы)
  4. Как сохранять доказательства для расследования
  5. Как восстанавливать систему после инцидента

Регулярные учения:

  • Раз в квартал проводить симуляцию инцидента
  • Проверять, работают ли процедуры блокировки
  • Обновлять контакты ответственных лиц
  • Тестировать систему резервного копирования

Выводы: Что означает этот инцидент для бизнеса

Главные уроки взлома Gainsight

Атака на Gainsight, скомпрометировавшая более 200 систем Salesforce клиентов, показывает критически важный момент в корпоративной безопасности: современные хакеры не взламывают напрямую защищённые системы — они используют доверенных партнёров как “чёрный ход”.

Ключевые выводы:

1. Цепная реакция уязвимостей: Взлом одного поставщика (Salesloft) привёл к взлому другого (Gainsight), что в итоге скомпрометировало сотни конечных компаний. Это как домино — падает первая костяшка, и рушится вся цепочка.

2. “Легальный” доступ опаснее взлома: Хакеры не ломали системы защиты — они использовали законные ключи доступа, которые были украдены. Системы безопасности не видели угрозы, потому что всё выглядело как обычная работа приложения.

3. Доверие — это риск: Компании доверяют своим поставщикам доступ к критическим данным. Но если поставщик недостаточно защищён, это доверие превращается в огромную дыру в безопасности.

4. Обнаружение запаздывает: Хакеры работали месяцами, прежде чем их обнаружили. За это время они успели украсть гигантские объёмы данных и подготовиться к шантажу.

Что нужно делать прямо сейчас

Немедленные действия:

Провести аудит всех подключённых приложений — проверить, что подключено к вашим системам

Ограничить права доступа — дать каждому приложению только минимум необходимых прав

Настроить мониторинг — отслеживать необычную активность в реальном времени

Проверить поставщиков — убедиться, что они серьёзно относятся к безопасности

Подготовить план реагирования — знать, что делать, если что-то пойдёт не так

Обучить сотрудников — объяснить риски и признаки атак

Долгосрочная стратегия:

Принцип “никому не доверяй” — проверять даже “своих” приложений и партнёров

Многослойная защита — не полагаться на одну систему защиты

Постоянная бдительность — регулярно проверять и обновлять безопасность

Прозрачность — требовать от поставщиков открытости о их безопасности

Взгляд в будущее

Такие атаки будут становиться только более распространёнными. Хакерские группы вроде Scattered Lapsus$ Hunters показали, что атаки через цепочку поставщиков — это эффективный и масштабируемый способ получить доступ к данным сотен компаний одновременно.

Что изменится:

  • Регуляторы введут более строгие требования к безопасности поставщиков
  • Компании будут внимательнее выбирать партнёров
  • Страховки от кибератак станут дороже
  • Инвестиции в безопасность вырастут

Кто выиграет: Компании, которые уже сейчас внедряют строгий контроль над сторонними приложениями, мониторинг активности и принцип минимальных привилегий. Те, кто ждёт, пока взломают их, заплатят намного больше — как деньгами, так и репутацией.

Дополнительные ресурсы

Официальные источники:

  • Страница статуса Salesforce с обновлениями
  • Страница инцидента Gainsight
  • Отчёты Google Threat Intelligence Group

Рекомендации по безопасности:

  • Руководство по безопасности OAuth
  • Лучшие практики управления рисками третьих сторон
  • Стандарты безопасности API
  • Примеры политик безопасности для облачных сервисов

Обучающие материалы:

  • Курсы по безопасности Salesforce
  • Сертификации по кибербезопасности
  • Вебинары о защите от атак через цепочку поставщиков