A distanza di pochi mesi, un terzo attacco informatico ha colpito le istanze Salesforce da parte del gruppo hacker Scattered Lapsus$ Hunters (noto anche come Scattered Spider) rubando oltre un miliardo di dati. Questa volta l’intrusione è avvenuta sfruttando le applicazioni della piattaforma di customer support Gainsight, le cui integrazioni con Salesforce avrebbero permesso un accesso non autorizzato.

Dopo aver rilevato delle attività sospette, Salesforce ha revocato tutti i token di accesso associati alle app di Gainsight, sottolineando che il problema di sicurezza non è correlato ad una vulnerabilità della sua piattaforma.

Secondo Google, gli hacker avrebbero sottratto dati appartenenti a oltre 200 aziende, tra cui Atlassian, CrowdStrike, GitLab, LinkedIn, SonicWall, Thomson Reuters e Verizon. Gli attaccanti sostengono di aver ottenuto l’accesso tramite token di autenticazione di Salesloft Drift (Gainsight è un cliente di Salesloft) e minacciano di aprire un sito dove pubblicheranno i dati rubati se non verrà pagato un riscatto.

L’incidente evidenzia i crescenti rischi legati alle integrazioni SaaS e alla necessità di monitorare non solo i sistemi principali, ma anche le applicazioni e i servizi di terze parti.

‍