Salesforce heeft gewaarschuwd voor gedetecteerde “ongebruikelijke activiteit” met betrekking tot door Gainsight gepubliceerde applicaties die op het platform zijn aangesloten.
“Ons onderzoek geeft aan dat deze activiteit ongeautoriseerde toegang tot de Salesforce-gegevens van bepaalde klanten mogelijk heeft gemaakt via de verbinding van de app”, aldus het bedrijf in een advies.
Het cloudservicebedrijf zei dat het de stap heeft gezet om alle actieve toegang en vernieuwingstokens in te trekken die zijn gekoppeld aan door Gainsight gepubliceerde applicaties die zijn verbonden met Salesforce. Het heeft deze applicaties ook tijdelijk van de AppExchange verwijderd terwijl het onderzoek voortduurt.
Salesforce heeft niet bekendgemaakt hoeveel klanten door het incident zijn getroffen, maar heeft hen wel op de hoogte gesteld.
“Er zijn geen aanwijzingen dat dit probleem het gevolg is van een kwetsbaarheid in het Salesforce-platform”, voegde het bedrijf eraan toe. “De activiteit lijkt verband te houden met de externe verbinding van de app met Salesforce.”
Uit voorzorg is de Gainsight-app tijdelijk verwijderd van de HubSpot Marketplace. “Dit kan ook van invloed zijn op de OAuth-toegang voor klantverbindingen terwijl de beoordeling plaatsvindt”, aldus Gainsight. “Er zijn op dit moment geen verdachte activiteiten met betrekking tot Hubspot waargenomen.”
In een bericht dat op LinkedIn werd gedeeld, beschreef Austin Larsen, hoofddreigingsanalist bij Google Threat Intelligence Group (GTIG), het als een “opkomende campagne” gericht op door Gainsight gepubliceerde applicaties die zijn verbonden met Salesforce.
Er wordt aangenomen dat de activiteit verband houdt met bedreigingsactoren die geassocieerd zijn met de ShinyHunters-groep (ook bekend als UNC6240), en weerspiegelt een vergelijkbare reeks aanvallen gericht op Salesloft Drift-instanties eerder deze augustus.
Volgens DataBreaches.Net heeft ShinyHunters bevestigd dat de campagne hun werk is en verklaard dat de aanvalsgolven van Salesloft en Gainsight hen in staat hebben gesteld gegevens van bijna 1000 organisaties te stelen.
Interessant is dat Gainsight eerder zei dat het ook een van de Salesloft Drift-klanten was die getroffen waren door de vorige aanval. Maar het is in dit stadium niet duidelijk of de eerdere inbreuk een rol heeft gespeeld bij het huidige incident.
Bij die hack hadden de aanvallers toegang tot zakelijke contactgegevens voor Salesforce-gerelateerde inhoud, waaronder namen, zakelijke e-mailadressen, telefoonnummers, regionale/locatiegegevens, informatie over productlicenties en de inhoud van ondersteuningsaanvragen (zonder bijlagen).
“Tegenstanders richten zich steeds vaker op de OAuth-tokens van vertrouwde SaaS-integraties van derden”, legt Larsen uit.
In het licht van de kwaadwillige activiteiten wordt organisaties geadviseerd om alle applicaties van derden die met Salesforce zijn verbonden te beoordelen, tokens voor ongebruikte of verdachte applicaties in te trekken en inloggegevens te rouleren als er afwijkingen worden opgemerkt vanuit een integratie.
