A investigação apontou que a intrusão teve origem em aplicações da Gainsight, plataforma usada como conector entre sistemas corporativos, que foi comprometida após uma tentativa anterior contra utilizadores da Salesloft.

O ataque foi reivindicado no Telegram pelo colectivo Scattered Lapsus$ Hunters, grupo que integra entidades como ShinyHunters, Scattered Spider e Lapsus$. Os hackers afirmam ter acedido a dados de empresas como Atlassian, Docusign, GitLab, LinkedIn, F5, SonicWall, Thomson Reuters e Verizon.

A Salesforce afirmou não haver qualquer falha interna na sua plataforma, atribuindo o incidente às “conexões externas dos aplicativos comprometidos”.

Algumas empresas citadas reagiram publicamente. A CrowdStrike assegurou que os seus sistemas não foram comprometidos e anunciou a demissão de um “insider suspeito”, alegadamente responsável por repassar informações aos invasores. Já a Malwarebytes declarou estar “ciente” das ocorrências envolvendo Gainsight e Salesforce e que conduz uma investigação interna. Outras empresas não comentaram até ao fecho desta matéria.

No Telegram, o Scattered Lapsus$ Hunters anunciou ainda que lançará esta semana um novo site de extorsão destinado a pressionar as vítimas — uma prática adoptada pelo colectivo desde Outubro, quando criou uma plataforma semelhante após o ataque à Salesloft.