Google a confirmé qu’une importante cyberattaque a permis le vol de données de plus de 200 entreprises hébergées via Salesforce. Les pirates n’ont pas pénétré directement la plateforme, mais ont exploité une faille chez un fournisseur tiers, exposant des sociétés majeures comme Malwarebytes et LinkedIn à un vol de données critiques.
Selon le collectif de hackers Scattered Lapsus$ Hunters — regroupant ShinyHunters, Scattered Spider et Lapsus$ — l’attaque a débuté par une brèche antérieure chez Salesloft et sa plateforme Drift. En dérobant des tokens d’authentification lors de cette première intrusion, les cybercriminels ont pu accéder aux systèmes de Gainsight, un fournisseur de solutions de support client.
Une fois à l’intérieur, ils ont pu consulter les instances Salesforce connectées de centaines de clients. Gainsight a reconnu avoir été « entièrement compromis » et collabore avec Mandiant, la division de réponse aux incidents de Google, pour l’enquête. Salesforce, de son côté, assure que sa plateforme n’a subi aucune vulnérabilité et a révoqué les accès des applications Gainsight par précaution.
La liste des entreprises potentiellement touchées est impressionnante. D’après TechCrunch, les hackers revendiquent sur Telegram avoir compromis Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters et Verizon, parmi d’autres. La réaction des victimes varie : Malwarebytes enquête activement, tandis que CrowdStrike dément être affecté et indique avoir licencié un employé suspecté de fuites internes.
Les pirates annoncent désormais la mise en ligne d’un site dédié dès la semaine prochaine, fidèle à leur modus operandi d’ingénierie sociale et de chantage. Ce portail servira à publier les données volées pour extorquer les victimes, répétant le scénario catastrophique déjà observé lors des attaques contre MGM Resorts ou Coinbase. L’incident illustre une fois de plus la vulnérabilité des interconnexions logicielles et la nécessité pour les entreprises de renforcer la sécurité de leurs fournisseurs tiers.