Google ยันเอง ข้อมูล 200 บริษัทรั่วไหล หลังแฮกเกอร์เจาะ Gainsight

KEY POINTS

 

 

Google ได้ออกมายืนยันอย่างเป็นทางการว่า ขณะนี้มีข้อมูลขององค์กรธุรกิจกว่า 200 แห่งที่จัดเก็บอยู่บนระบบ Salesforce ถูกขโมยออกไป

 

ซึ่งเหตุการณ์นี้ถือเป็นการโจมตีห่วงโซ่อุปทาน (Supply Chain Hack) ครั้งรุนแรง โดยคนร้ายอาศัยช่องทางผ่านแอปพลิเคชันของ Gainsight ผู้ให้บริการแพลตฟอร์มบริหารความสัมพันธ์ลูกค้า เพื่อเข้าถึงข้อมูลสำคัญ

 

ออสติน ลาร์เซน นักวิเคราะห์ภัยคุกคามอาวุโสจาก Google Threat Intelligence Group เปิดเผยว่า

 

ทาง Google ตรวจพบความผิดปกติและยืนยันว่ามีอินสแตนซ์ของ Salesforce ที่ได้รับผลกระทบจากเหตุการณ์นี้มากกว่า 200 ราย

 

สอดคล้องกับความเคลื่อนไหวของ Salesforce เมื่อวันพฤหัสบดี ที่ออกมาระบุว่า ข้อมูลของลูกค้าจำนวนหนึ่งรั่วไหลผ่านแอปพลิเคชันของ Gainsight แต่ไม่ได้เปิดเผยรายชื่อบริษัทที่เสียหาย

 

พร้อมย้ำจุดยืนว่า เหตุการณ์นี้ไม่ได้เกิดจากความบกพร่องของแพลตฟอร์ม Salesforce แต่อย่างใด

 

 

 

หลัง Salesforce ออกแถลงการณ์ กลุ่มแฮกเกอร์ที่เรียกตัวเองว่า "Scattered Lapsus$ Hunters" ซึ่งมีสมาชิกจากแก๊งไซเบอร์ชื่อดังอย่าง ShinyHunters รวมอยู่ด้วย ได้ออกมาแสดงตัวผ่านช่องทาง Telegram 

 

โดยอ้างความรับผิดชอบต่อการโจมตีครั้งนี้ พร้อมระบุรายชื่อองค์กรยักษ์ใหญ่ที่ตกเป็นเหยื่อ อาทิ Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters และ Verizon

สำนักข่าว TechCrunch ได้สอบถามไปยังบริษัทที่มีรายชื่อปรากฏอยู่ในคำกล่าวอ้างของแฮกเกอร์ ซึ่งได้รับคำชี้แจงที่แตกต่างกันไป

 

CrowdStrike: เควิน เบนัคชี โฆษกบริษัท ยืนยันหนักแน่นว่าบริษัทไม่ได้รับผลกระทบจากกรณี Gainsight ข้อมูลลูกค้ายังปลอดภัย 100% แต่ยอมรับว่าได้ไล่พนักงานออกหนึ่งราย เนื่องจากพบพฤติกรรมน่าสงสัยว่าอาจเป็นหนอนบ่อนไส้ส่งข้อมูลให้แฮกเกอร์

 

Verizon: เควิน อิสราเอล โฆษกบริษัท ชี้แจงว่ารับทราบเรื่องแล้ว แต่ยังไม่พบหลักฐานยืนยันว่าข้อมูลรั่วไหลจริงตามที่แฮกเกอร์กล่าวอ้าง

 

Docusign: ไมเคิล อดัมส์ ประธานเจ้าหน้าที่ฝ่ายความปลอดภัยข้อมูล (CISO) เผยว่าจากการตรวจสอบเบื้องต้นยังไม่พบร่องรอยการถูกเจาะข้อมูล แต่เพื่อความปลอดภัยขั้นสูงสุด บริษัทได้ตัดการเชื่อมต่อกับ Gainsight ทั้งหมดแล้ว

 

Malwarebytes และ Thomson Reuters: ทั้งสองบริษัทแจ้งว่ารับทราบเรื่องแล้ว และทีมความปลอดภัยกำลังเร่งสอบสวนข้อเท็จจริงอย่างละเอียด

 

 

กลุ่มแฮกเกอร์ ShinyHunters เปิดเผยกับสำนักข่าว TechCrunch ว่า พวกเขาเข้าถึงระบบของ Gainsight ได้โดยอาศัยผลพวงจากการโจมตีครั้งก่อนที่พุ่งเป้าไปที่ลูกค้าของ Salesloft (ผู้ให้บริการแพลตฟอร์มการตลาด AI ชื่อ Drift) 

 

โดยแฮกเกอร์ได้ขโมย "Authentication Tokens" หรือรหัสยืนยันตัวตนของ Drift มาได้ ซึ่งเปรียบเสมือนกุญแจผีที่ทำให้พวกเขาสามารถเข้าถึงอินสแตนซ์ Salesforce ที่เชื่อมต่ออยู่และดาวน์โหลดข้อมูลออกมาได้สำเร็จ

ทาง Gainsight เองก็ยอมรับว่าตนเองเคยตกเป็นเหยื่อในการโจมตีครั้งก่อนหน้านี้เช่นกัน โดยระบุผ่านหน้าอัปเดตสถานการณ์ว่า

 

ปัญหานี้เกิดจากการเชื่อมต่อภายนอกของแอปพลิเคชัน ไม่ใช่ช่องโหว่ภายใน Salesforce และขณะนี้กำลังร่วมมือกับ Mandiant หน่วยงานรับมือเหตุการณ์ฉุกเฉินของ Google เพื่อตรวจสอบทางนิติวิทยาศาสตร์อย่างละเอียด

 

 

 

เพื่อจำกัดความเสียหาย Salesforce ได้ทำการเพิกถอนสิทธิ์การเข้าถึง (Access Tokens) ของแอปพลิเคชันที่เชื่อมต่อกับ Gainsight เป็นการชั่วคราว และกำลังทยอยแจ้งเตือนลูกค้าที่ข้อมูลถูกขโมย

 

อย่างไรก็ตาม สถานการณ์ยังคงน่าจับตามอง เมื่อกลุ่ม Scattered Lapsus$ Hunters ประกาศกร้าวว่าเตรียมจะเปิดเว็บไซต์ประจานข้อมูลเหยื่อภายในสัปดาห์หน้า

 

เพื่อบีบให้เหยื่อยอมจ่ายค่าไถ่ ซึ่งเป็นรูปแบบที่กลุ่มนี้เคยใช้มาแล้วเมื่อเดือนตุลาคมที่ผ่านมา

 

สำหรับกลุ่ม Scattered Lapsus$ Hunters เป็นการรวมตัวของอาชญากรไซเบอร์ที่ใช้ภาษาอังกฤษเป็นหลัก มีความเชี่ยวชาญด้านวิศวกรรมสังคม (Social Engineering)

 

หรือการหลอกลวงให้พนักงานตายใจจนยอมมอบรหัสผ่านให้ โดยที่ผ่านมามีผลงานการโจมตีองค์กรระดับโลกมาแล้วมากมาย ไม่ว่าจะเป็น MGM Resorts, Coinbase หรือ DoorDash

 

อ้างอิง:

TechCrunch 

Cr. https://www.posttoday.com/ai-today/733859