גוגל מאשרת: פרצת נתונים חשפה מידע על לקוחות

גוגל אישרה בסוף השבוע כי פרצת נתונים שנחשפה באחרונה באחד ממופעי ה-Salesforce CRM שלה כללה מידע של לקוחות פוטנציאליים של Google Ads.

בהודעה שנשלחה ללקוחות שעלולים להיפגע מהפרצה ציינה החברה כי "אנחנו כותבים כדי ליידע אותך על אירוע שהשפיע על מאגר מוגבל של נתונים באחד ממופעי הסיילספורס הארגוניים של גוגל, שמשמשים לתקשורת עם לקוחות פוטנציאליים של Google Ads. הרשומות שלנו מצביעות על פרטי קשר עסקיים בסיסיים והערות קשורות, שהושפעו מהאירוע הזה".

לפי גוגל, המידע שנחשף כולל שמות עסקים, מספרי טלפון ו-"הערות קשורות" לסוכן מכירות של החברה – ליצור איתם קשר שוב. היא ציינה כי פרטי התשלום לא נחשפו, וכי אין השפעה על נתוני המודעות בחשבונות של Google Ads ,Merchant Center ,Google Analytics ומוצרי מודעות אחרים של החברה.

"ציידים מבריקים ועכביש מפוזר הם אותו הדבר"

הפריצה בוצעה על ידי שחקני האיום ציידים מבריקים (ShinyHunters), שעמדו מאחורי גל מתמשך של מתקפות גניבת נתונים המכוונות ללקוחות סיילספורס. גוגל לא שיתפה כמה אנשים הושפעו, אולם ההאקרים טענו שהמידע הגנוב מכיל כ-2.55 מיליון רשומות נתונים. לא ברור האם, ואם כן כמה, יש כפילויות ברשומות אלה.

ההאקרים שוחחו עם כתבי BleepingComputer ואמרו להם שהם עובדים גם עם שחקני איומים הקשורים לעכביש מפוזר (Scattered Spider), אשר הם האחראים להשגת גישה ראשונית ראשונה למערכות של הקורבנות. הם אישרו שיש זהות מוחלטת בין הקבוצות: "כמו שכבר אמרנו שוב ושוב, ציידים מבריקים ועכביש מפוזר הם אותו הדבר. הם מספקים לנו גישה ראשונית ואנחנו מבצעים את החילוץ של מופעי ה-CRM של סיילספורס. בדיוק כמו שעשינו עם סנואופלייק".

שחקני האיום מכנים את עצמם כעת בשם שהוא מעין הלחם מילים בין הקבוצות, Sp1d3rHunters, כדי להמחיש את החפיפה בין המעורבים במתקפות אלה.

הנדסה חברתית נגד עובדים

כחלק מהמתקפות, ההאקרים מבצעים מתקפות הנדסה חברתית נגד עובדים, כדי לקבל גישה לאישורים או להערים עליהם להוריד גרסה זדונית של אפליקציית Data Loader OAuth של סיילספורס, לסביבת הסיילספורס של היעד. לאחר מכן, שחקני האיום מורידים את כל מסד הנתונים של סיילספורס וסוחטים את החברות באמצעות מייל, בכך שהם מאיימים לשחרר את הנתונים הגנובים אם לא ישולמו דמי כופר.

מתקפת הסייבר בוצעה באמצעות טכניקות פישינג קולי מתוחכמות, שבהן שחקני איום התחזו לאנשי תמיכת IT כדי להונות את עובדי גוגל להעניק גישה למערכת. לפי מומחי אבטחה, "גישה זו של הנדסה חברתית הפכה נפוצה יותר ויותר: התוקפים מתמרנים את העובדים ומנצלים את האמון שלהם – במקום לנצל פגיעויות טכניות בפלטפורמת סיילספורס עצמה". כך, הפישינג שנעשה בשיחות הטלפון של ההונאה מעניק לפושעי הסייבר יכולות נרחבות לגשת ולחלץ נתונים רגישים.

כלים חדשים

המתקפות על מערכות סיילספורס דווחו בראשונה על ידי קבוצת מודיעין האיומים של גוגל (GTIG) ביוני השנה, והחברה חוותה מתקפה אחת, או יותר, חודש לאחר מכן.

אתר Databreaches.net דיווח שבמתקפה הנוכחית, ההאקרים כבר שלחו דרישת סחיטה לגוגל. לפי האתר, ציידים מבריקים דרשו מגוגל 20 מטבעות ביטקוין, או כ-2.3 מיליון דולר, כדי שלא להדליף את הנתונים. ההאקרים הוסיפו שמאז, הם עברו לפעול עם כלי פריצה חדש, מותאם אישית, שמקל עליהם לגנוב נתונים ובמהירות ממופעי סיילספורס שנפגעו.

לפי חוקרי גוגל, שתייגו את ציידים מבריקים כ-UNC6040, הם כבר הבחינו בכלים החדשים, וציינו שהם ראו סקריפטים של פיית'ון המשמשים למתקפות – במקום Salesforce Data Loader. גוגל הדגישה כי הפרצה נחסמה "בתוך חלון זמן קצר לפני שהגישה נותקה".