Компания CrowdStrike уволила инсайдера, который продавал киберпреступникам скриншоты своего рабочего компьютера. Эти изображения позже опубликовала в Telegram группа Scattered Lapsus$ Hunters, известная своими финансово мотивированными атаками. На скриншотах были видны внутренние панели CrowdStrike, включая ссылку на Okta SSO.
Изначально злоумышленники утверждали, что получили доступ к системам CrowdStrike, использовав уязвимость у стороннего подрядчика Gainsight.
Неделей ранее эта же группа заявила о компрометации множества клиентов Salesforce через интеграции Gainsight, после чего Salesforce отключила связанные приложения.
Однако CrowdStrike официально опровергла взлом. В комментарии изданию SecurityWeek представители компании сообщили, что в утечке виноват инсайдер, и его уже вычислили по итогам внутреннего расследования.
По словам компании, он сделал и передал за пределы организации фотографии экранов своего компьютера. Системы CrowdStrike при этом не были взломаны, а клиенты оставались в безопасности. Материалы переданы правоохранительным органам.
Не уточняется, кем именно был инсайдер — сотрудником, подрядчиком, консультантом или партнёром с доступом ко внутренним ресурсам.
По данным Scattered Lapsus$ Hunters, инсайдер получил 25 тысяч долларов за скриншоты, якобы предоставленный доступ к системам CrowdStrike и данные аутентификационных cookie.
Тем временем сама киберпреступная группа заявляет, что уже более тысячи раз похищала данные в атаках на клиентов Salesforce, включая крупные бренды и компании в сфере кибербезопасности.
Напомним, летний коллапс от CrowdStrike, который парализовал больницы, банки и даже самолёты, до сих пор у многих системных админов вызывает нервный тик. Именно из-за него Microsoft убирает антивирусы из ядра Windows.
