IT 之家 11 月 23 日消息，谷歌证实，黑客通过大规模供应链攻击窃取了储存在 Salesforce 平台上的逾 200 家企业的数据。

周四，Salesforce 公司披露其部分客户的 Salesforce 数据遭遇泄露，但未公开具体受影响企业名单，相关数据系通过 Gainsight 公司发布的应用程序被窃取。Gainsight 是一家为企业提供客户支持平台的服务商。

谷歌威胁情报团队（Google Threat Intelligence Group）首席威胁分析师奥斯汀・拉尔森（Austin Larsen）在一份声明中表示，谷歌 " 已确认有超过 200 个 Salesforce 实例可能受到此次事件影响 "。

在 Salesforce 宣布数据泄露后，臭名昭著且身份模糊的黑客组织 "Scattered Lapsus$ Hunters"（其中包含 ShinyHunters 团伙）在一个 Telegram 频道中宣称对此次攻击负责。

该黑客组织还声称，其攻击波及 Atlassian、CrowdStrike、DocuSign、F5、GitLab、LinkedIn、Malwarebytes、SonicWall、汤森路透（Thomson Reuters）和 Verizon 等企业。谷歌方面拒绝对具体受害企业置评。

CrowdStrike 发言人凯文・贝纳奇（Kevin Benacci）向 TechCrunch 表示：" 我司未受 Gainsight 相关事件影响，所有客户数据均保持安全。" 不过，CrowdStrike 同时证实，已解雇一名 " 可疑内部人员 "，因其涉嫌向黑客泄露信息。

Verizon 发言人凯文・以色列（Kevin Israel）称："Verizon 已注意到该威胁行为者提出的未经证实的说法 "，但未提供进一步证据支持该说法。

Malwarebytes 发言人阿什利・斯图尔特（Ashley Stewart）表示，公司安全部门 " 已知悉 Gainsight 与 Salesforce 相关事件，并正积极展开调查 "。

汤森路透一名发言人则称，公司 " 正在积极调查此事 "。

DocuSign 首席信息安全官迈克尔・亚当斯（Michael Adams）表示：" 经全面日志分析与内部调查，截至目前，我们未发现 DocuSign 数据遭到泄露的证据。" 但他补充道：" 出于高度审慎考虑，我司已采取多项措施，包括终止所有 Gainsight 集成服务，并阻断相关数据流。"

ShinyHunters 团伙成员在与 TechCrunch 的线上对话中透露，其之所以能入侵 Gainsight，得益于此前针对 Salesloft 客户的攻击行动。Salesloft 是一家提供由 AI 与聊天机器人驱动的营销平台 "Drift" 的公司。在该起早期事件中，黑客成功窃取了这些客户持有的 Drift 认证令牌，进而突破其关联的 Salesforce 实例并下载其中数据。

当时，Gainsight 已确认自身系该攻击事件的受害者之一。

ShinyHunters 的一名发言人表示："Gainsight 是 Salesloft Drift 的客户，其因此次事件受到波及，并被我们彻底攻陷。"

Salesforce 发言人妮可・阿拉恩达（Nicole Aranda）回应称：" 依据公司政策，Salesforce 不对具体客户事件发表评论。"

Gainsight 未回应置评请求。

周四，Salesforce 发布声明称：" 目前无任何迹象表明此次事件源于 Salesforce 平台自身存在漏洞 "，实质上将责任与客户数据泄露进行了切割。

Gainsight 已在其事件通报页面持续更新进展。周五，该公司表示，目前已协同谷歌旗下事件响应单位 Mandiant 展开联合调查；此次事件 " 源于相关应用程序的外部连接环节，而非 Salesforce 平台本身的任何问题或漏洞 "；" 全面且独立的取证分析仍在持续进行中 "。

Gainsight 的事件页面还指出：" 作为预防性措施，Salesforce 已临时撤销所有 Gainsight 关联应用程序的有效访问令牌，同时其对异常活动的调查仍在继续。" 该页面补充称，Salesforce 正在通知那些数据已被窃取的受影响客户。

Scattered Lapsus$ Hunters 在其 Telegram 频道中宣称，计划于下周推出专属网站，用以勒索此次攻击行动的受害者，这已是该组织惯用手法；今年 10 月，该团伙在 Salesloft 攻击事件中窃取受害者 Salesforce 数据后，亦曾上线类似勒索网站。

据 IT 之家了解，Scattered Lapsus$ Hunters 是一个由多个英语系网络犯罪团伙组成的松散联盟，成员包括 ShinyHunters、Scattered Spider 及 Lapsus$ 等组织。其成员惯于利用社会工程学手段，诱骗企业员工授予其对内部系统或数据库的访问权限。近数年间，这些团体已宣称成功攻击多家知名企业，包括美高梅国际酒店集团（MGM Resorts）、Coinbase、DoorDash 等。