Trước đó, Salesforce chỉ cho biết “một số khách hàng” bị ảnh hưởng mà không nêu tên những công ty cụ thể. Austin Larsen, chuyên gia phân tích đe dọa cấp cao của Nhóm Tình báo Đe dọa Google, cho biết công ty “ghi nhận hơn 200 hệ thống Salesforce có khả năng bị ảnh hưởng”.

Theo TechCrunch, nhóm tội phạm mạng Scattered Lapsus$ Hunters, trong đó có thành viên của băng ShinyHunters đã nhận trách nhiệm trên kênh Telegram sau khi thông tin vụ tấn công được công bố. Nhóm này còn tuyên bố thực hiện các vụ tấn công nhằm vào nhiều doanh nghiệp lớn như Atlassian, CrowdStrike, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Verizon… Tuy nhiên, Google không xác nhận cụ thể doanh nghiệp nào thực sự bị ảnh hưởng.

Tin tặc Scattered Lapsus$ Hunters đánh cắp dữ liệu Salesforce của hàng trăm doanh nghiệp. Ảnh minh hoạ.

Người phát ngôn của CrowdStrike - Kevin Benacci, khẳng định công ty “không bị ảnh hưởng bởi sự cố liên quan tới Gainsight và toàn bộ dữ liệu khách hàng vẫn an toàn”. CrowdStrike cũng xác nhận đã sa thải một nhân viên nội bộ bị nghi chia sẻ thông tin với tin tặc.

Đại diện Verizon cho biết công ty đã nắm được tuyên bố chưa được kiểm chứng từ nhóm tin tặc, nhưng không cung cấp bằng chứng nào cho thấy bị ảnh hưởng. Người phát ngôn của Malwarebytes, Ashley Stewart, nói rằng đội ngũ an ninh của công ty “đang điều tra tích cực” sự cố liên quan Gainsight và Salesforce.

Tại DocuSign, Giám đốc an ninh thông tin Michael Adams cho biết, sau khi phân tích nhật ký và điều tra nội bộ, “hiện không có dấu hiệu dữ liệu bị xâm phạm”. Tuy vậy, ông cho biết công ty đã “tạm dừng toàn bộ tích hợp với Gainsight và kiểm soát các luồng dữ liệu liên quan” như một biện pháp phòng ngừa.

Trò chuyện trực tuyến với TechCrunch, các thành viên ShinyHunters cho biết họ xâm nhập Gainsight thông qua một chiến dịch tấn công trước đó nhắm vào khách hàng của Salesloft - nhà cung cấp công cụ tiếp thị dùng AI và chatbot có tên Drift. Trong chiến dịch này, tin tặc đã đánh cắp mã xác thực Drift của khách hàng, từ đó truy cập các hệ thống Salesforce liên kết và tải về dữ liệu.

“Gainsight là khách hàng của Salesloft Drift, họ bị ảnh hưởng và vì vậy toàn bộ hệ thống đã bị chúng tôi xâm nhập”, đại diện ShinyHunters nói. Gainsight xác nhận là nạn nhân nhưng không bình luận thêm.

Người phát ngôn của Salesforce, Nicole Aranda, cho biết công ty “không bình luận về vấn đề của khách hàng”, đồng thời khẳng định không có dấu hiệu sự cố xuất phát từ lỗ hổng của nền tảng Salesforce.

Gainsight liên tục cập nhật tình hình trên trang trạng thái dịch vụ. Công ty cho biết đang phối hợp điều tra với Mandiant - đơn vị ứng phó sự cố thuộc Google. Gainsight nhấn mạnh vụ việc “xuất phát từ kết nối bên ngoài của ứng dụng chứ không phải lỗ hổng trong nền tảng Salesforce” và phân tích pháp chứng vẫn đang được tiến hành.

Theo trang sự cố của Gainsight, Salesforce đã “tạm thời thu hồi các mã truy cập” đối với ứng dụng kết nối Gainsight trong lúc điều tra hoạt động bất thường và đang thông báo đến khách hàng có dữ liệu bị truy cập trái phép.

Trên Telegram, Scattered Lapsus$ Hunters tuyên bố sẽ mở một website vào tuần tới để tống tiền các nạn nhân trong chiến dịch mới - một động thái quen thuộc của nhóm. Tháng 10 vừa qua, nhóm cũng lập một trang tương tự để đe dọa sau khi đánh cắp dữ liệu Salesforce trong sự cố Salesloft.

Scattered Lapsus$ Hunters là nhóm tin tặc gồm thành viên từ ShinyHunters, Scattered Spider và Lapsus$. Nhóm này nổi tiếng nhờ sử dụng kỹ nghệ xã hội để thuyết phục nhân viên doanh nghiệp cung cấp quyền truy cập hệ thống. Những năm gần đây, họ đã đứng sau hàng loạt vụ tấn công nhằm vào MGM Resorts, Coinbase, DoorDash và nhiều công ty khác.

Lệ Thanh (theo Times of India)