404 Not Found
Writer
Hơn 200 doanh nghiệp trên toàn thế giới đang đứng trước nguy cơ lộ lọt dữ liệu sau khi Google xác nhận một cuộc tấn công chuỗi cung ứng nhắm vào Gainsight, ứng dụng được rất nhiều công ty dùng để quản lý khách hàng trên Salesforce. Đây được xem là một trong những sự cố nghiêm trọng nhất liên quan đến hệ sinh thái Salesforce thời gian gần đây và làm dấy lên lo ngại về sức mạnh của các cuộc tấn công qua nhà cung cấp thứ ba.
Theo phân tích ban đầu, tin tặc đã lợi dụng kết nối tích hợp giữa Gainsight và Salesforce để bí mật truy cập vào dữ liệu của hơn 200 hệ thống. Salesforce không phải là bên mắc lỗi vì vấn đề xuất phát từ các kết nối bên ngoài, nơi nhiều doanh nghiệp thường ít chú ý tới mức độ rủi ro thật sự. Khi một ứng dụng vệ tinh bị xâm nhập, những dữ liệu vốn tưởng chừng an toàn trong hệ thống chính lại trở thành mục tiêu dễ dàng.
Nhóm tội phạm mạng Scattered Lapsus$ Hunters nhận trách nhiệm trên kênh Telegram sau khi vụ tấn công được công bố. Nhóm này gồm các thành viên từ ShinyHunters và tuyên bố đã nhắm tới nhiều doanh nghiệp lớn, trong đó có Atlassian, CrowdStrike, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall và Verizon. Tuy nhiên, Google chưa xác nhận doanh nghiệp nào thực sự bị ảnh hưởng, nên danh sách này chỉ mang tính tham khảo về quy mô hoạt động của nhóm.
Thông tin kể trên khiến hàng loạt công ty bị réo tên phải lên tiếng. CrowdStrike cho biết dữ liệu khách hàng của họ vẫn an toàn và đã tiến hành sa thải một nhân viên được cho là có liên quan đến nhóm tin tặc. Verizon và Malwarebytes cho hay họ đang rà soát hệ thống nhằm tìm kiếm bất kỳ dấu hiệu bất thường nào. DocuSign dù chưa ghi nhận việc mất dữ liệu vẫn quyết định tạm dừng toàn bộ các tích hợp với Gainsight để giảm thiểu nguy cơ phát sinh.
Nguồn gốc của vụ việc bắt đầu từ một chiến dịch trước đó nhắm vào khách hàng của Salesloft. Trong chiến dịch này, tin tặc đã đánh cắp mã xác thực của Drift, một chatbot hỗ trợ bán hàng. Những mã xác thực này sau đó được dùng để truy cập các hệ thống Salesforce có liên kết với Gainsight, tạo thành một đường vòng tinh vi nhưng cực kỳ hiệu quả. Chỉ một điểm yếu trong chuỗi tích hợp đủ để cả hệ thống doanh nghiệp bị kéo vào rủi ro.
Gainsight đã thừa nhận bị xâm nhập và hiện đang phối hợp điều tra cùng Mandiant. Salesforce cũng đã tạm thời thu hồi mã truy cập liên quan đến Gainsight và gửi thông báo tới những khách hàng có dữ liệu bị truy cập trái phép. Hoạt động điều tra vẫn đang diễn ra và chưa có thống kê cuối cùng về mức độ ảnh hưởng.
Trong lúc các công ty vẫn nỗ lực kiểm tra và khắc phục hệ thống, Scattered Lapsus$ Hunters cho biết sẽ sớm ra mắt một trang web mới để công bố dữ liệu và gây áp lực tống tiền các nạn nhân. Cộng đồng an ninh mạng đang theo dõi chặt chẽ, bởi những thông tin mà nhóm tin tặc chuẩn bị công bố có thể hé lộ mức độ thiệt hại thực sự và danh tính các doanh nghiệp bị ảnh hưởng. Cuộc tấn công vẫn đang tiếp diễn và những diễn biến sắp tới sẽ cho thấy mức độ nghiêm trọng của sự cố.
Theo phân tích ban đầu, tin tặc đã lợi dụng kết nối tích hợp giữa Gainsight và Salesforce để bí mật truy cập vào dữ liệu của hơn 200 hệ thống. Salesforce không phải là bên mắc lỗi vì vấn đề xuất phát từ các kết nối bên ngoài, nơi nhiều doanh nghiệp thường ít chú ý tới mức độ rủi ro thật sự. Khi một ứng dụng vệ tinh bị xâm nhập, những dữ liệu vốn tưởng chừng an toàn trong hệ thống chính lại trở thành mục tiêu dễ dàng.
Nhóm tội phạm mạng Scattered Lapsus$ Hunters nhận trách nhiệm trên kênh Telegram sau khi vụ tấn công được công bố. Nhóm này gồm các thành viên từ ShinyHunters và tuyên bố đã nhắm tới nhiều doanh nghiệp lớn, trong đó có Atlassian, CrowdStrike, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall và Verizon. Tuy nhiên, Google chưa xác nhận doanh nghiệp nào thực sự bị ảnh hưởng, nên danh sách này chỉ mang tính tham khảo về quy mô hoạt động của nhóm.
Thông tin kể trên khiến hàng loạt công ty bị réo tên phải lên tiếng. CrowdStrike cho biết dữ liệu khách hàng của họ vẫn an toàn và đã tiến hành sa thải một nhân viên được cho là có liên quan đến nhóm tin tặc. Verizon và Malwarebytes cho hay họ đang rà soát hệ thống nhằm tìm kiếm bất kỳ dấu hiệu bất thường nào. DocuSign dù chưa ghi nhận việc mất dữ liệu vẫn quyết định tạm dừng toàn bộ các tích hợp với Gainsight để giảm thiểu nguy cơ phát sinh.
Nguồn gốc của vụ việc bắt đầu từ một chiến dịch trước đó nhắm vào khách hàng của Salesloft. Trong chiến dịch này, tin tặc đã đánh cắp mã xác thực của Drift, một chatbot hỗ trợ bán hàng. Những mã xác thực này sau đó được dùng để truy cập các hệ thống Salesforce có liên kết với Gainsight, tạo thành một đường vòng tinh vi nhưng cực kỳ hiệu quả. Chỉ một điểm yếu trong chuỗi tích hợp đủ để cả hệ thống doanh nghiệp bị kéo vào rủi ro.
Gainsight đã thừa nhận bị xâm nhập và hiện đang phối hợp điều tra cùng Mandiant. Salesforce cũng đã tạm thời thu hồi mã truy cập liên quan đến Gainsight và gửi thông báo tới những khách hàng có dữ liệu bị truy cập trái phép. Hoạt động điều tra vẫn đang diễn ra và chưa có thống kê cuối cùng về mức độ ảnh hưởng.
Trong lúc các công ty vẫn nỗ lực kiểm tra và khắc phục hệ thống, Scattered Lapsus$ Hunters cho biết sẽ sớm ra mắt một trang web mới để công bố dữ liệu và gây áp lực tống tiền các nạn nhân. Cộng đồng an ninh mạng đang theo dõi chặt chẽ, bởi những thông tin mà nhóm tin tặc chuẩn bị công bố có thể hé lộ mức độ thiệt hại thực sự và danh tính các doanh nghiệp bị ảnh hưởng. Cuộc tấn công vẫn đang tiếp diễn và những diễn biến sắp tới sẽ cho thấy mức độ nghiêm trọng của sự cố.
Tổng hợp
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview