Компания CrowdStrike официально подтвердила обнаружение и последующее увольнение сотрудника, который несанкционированно передал конфиденциальные скриншоты внутренних систем группе киберпреступников.
Эти изображения были размещены в Telegram-канале альянса хакеров Scattered Lapsus$ Hunters, включающего участников хакерских групп Scattered Spider, LAPSUS$ и ShinyHunters. Материалы включали экраны с административными панелями и ссылки на корпоративные ресурсы, в частности, систему Okta, обеспечивающую аутентификацию доступа к внутренним приложениям.
Хакеры предположили связь компрометации CrowdStrike с недавней утечкой данных у Gainsight, компании, занимающейся управлением взаимоотношениями с клиентами. Gainsight предлагает решения для интеграции с Salesforce, и на прошлой неделе последняя сообщила о компрометации приложений Gainsight, интегрированных с её платформой.
Хотя детали атак не были раскрыты, этот инцидент напоминает аналогичную ситуацию с компанией Salesloft в августе 2025 года. Тогда Scattered Lapsus$ Hunters украли конфиденциальную информацию, включая пароли и ключи доступа к облачным сервисам AWS и Snowflake, используя украденные токены OAuth, интегрированные с ИИ-чат-ботом Drift.
CrowdStrike отвергла утверждения хакеров о связи с утечкой данных Gainsight, заявив, что скриншоты не относятся к инциденту. Внутреннее расследование выявило, что сотрудник делился изображениями экрана своего рабочего компьютера с посторонними. Системы компании не подверглись компрометации, а данные клиентов находятся в безопасности. Вся собранная информация передана в правоохранительные органы.
По данным издания Bleeping Computer, участник группы ShinyHunters сообщил о сделке с инсайдером, получившим 25 000 долларов за доступ к сети CrowdStrike. Инсайдер передал аутентификационные файлы SSO-cookie, но CrowdStrike оперативно обнаружила утечку и заблокировала доступ нарушителя.
Злоумышленники также утверждали о попытке приобретения отчётов CrowdStrike о деятельности ShinyHunters и Scattered Spider, но безуспешно.