Google a confirmé qu’une vaste cyberattaque a permis de dérober les données de plus de 200 entreprise stockées par Salesforce. Les pirates n’ont pas forcé la porte d’entrée principale, mais sont passés par la fenêtre d’un fournisseur tiers, exposant des géants comme Malwarebytes ou LinkedIn à un vol de données critique.
L’effet domino : de Salesloft à Gainsight
Le piratage révèle la fragilité des interconnexions logicielles. Selon le groupe de hackers Scattered Lapsus$ Hunters (une coalition incluant ShinyHunters, Scattered Spider etLapsus$), tout a commencé par une précédente brèche chez Salesloft et sa plateforme Drift. En volant des tokens d’authentification lors de cette première offensive, les cybercriminels ont pu pénétrer les systèmes de Gainsight, un fournisseur de solutions de support client.
Une fois dans la place chez Gainsight, ils ont eu accès aux instances Salesforce connectées de centaines de clients. Gainsight a admis avoir été « entièrement compromis » et collabore désormais avec Mandiant (l’unité de réponse aux incidents de Google) pour l’enquête. De son côté, Salesforce s’est empressé de préciser que sa propre plateforme ne souffrait d’aucune vulnérabilité, tout en révoquant par précaution les accès des applications Gainsight.
Un chantage imminent et une confusion chez les victimes
La liste des cibles potentielles donne le vertige. TechCrunch explique que sur Telegram, les pirates revendiquent avoir touché des poids lourds comme Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters et Verizon. La réponse des entreprises est toutefois mitigée : si Malwarebytes enquête activement, CrowdStrike nie fermement être affecté par l’affaire Gainsight, tout en révélant avoir licencié un employé suspecté de fuites internes.
La pression ne fait que commencer. Fidèles à leur mode opératoire d’ingénierie sociale et de chantage, les pirates de Scattered Lapsus$ Hunters ont annoncé le lancement d’un site Web dédié dès la semaine prochaine. Ce sera l’occasion de publier les données volées pour extorquer les victimes, répétant le scénario catastrophe qu’avaient connu MGM Resorts ou Coinbase par le passé.
