Infamous grupa ShinyHunters pokrenula je novu kampanju krađe podataka usmjerenu na Salesforce korisnike, iskorišćavajući Gainsight integracije kako bi pristupila njihovim instancama.
Odmah nakon otkrivanja incidenta, Salesforce je opozvao sve aktivne pristupe i tokene povezane sa Gainsight aplikacijama na svojoj platformi. Kompanija je privremeno uklonila aplikacije sa platforme dok traje istraga napada.
„Salesforce je identifikovao neuobičajenu aktivnost koja uključuje Gainsight aplikacije povezane na Salesforce, a koje direktno instaliraju i upravljaju njima kupci. Naša istraga ukazuje da je ova aktivnost mogla omogući neautorizovan pristup podacima određenih kupaca kroz konekciju aplikacije“ saopšteno je u četvrtak ujutro.
Salesforce je obavijestio pogođene korisnike, ali nije otkrio koliko organizacija bi moglo biti zahvaćeno incidentom. U međuvremenu, pristup Gainsight aplikacijama kroz Salesforce ostaje nedostupan.
U četvrtak veče, Gainsight je potvrdio da su u napadu kompromitovane samo tri organizacije i da incident istražuju zajedno sa Salesforce-om i nezavisnom forenzičkom firmom.
„Naš treći partner će izdati formalni izvještaj i preporuke za sanaciju. Gainsight će vjerovatno preći na paketizovanu verziju Connected App rješenja kako bi se obezbijedio čist i bezbjedan reset. Iako niko ne može garantovati apsolutnu zaštitu, usluge ćemo ponovo aktivirati tek kada budu potpuno provjerene“ naveli su iz kompanije.
Nakon ponovnog uključivanja konektora, biće potrebna re-autorizacija. Gainsight navodi da je svaki kompromitovani token bio „ograničen na jednog kupca“, ali sve organizacije treba da rotiraju ključeve, kredencijale i sertifikate za svoje Gainsight integracije.
U objavi na LinkedIn-u, principalni analitičar Google Threat Intelligence Group-a, Austin Larsen, rekao je da Mandiant vodi istragu napada i da su za incident odgovorni notorni ShinyHunters hakeri.
Napadači „kompromituju OAuth tokene trećih strana kako bi potencijalno stekli neautorizovan pristup Salesforce instancama kupaca“, naveo je Larsen.
„Hakeri sve češće ciljaju OAuth tokene provjerenih SaaS integracija trećih strana. Vidjeli smo to nedavno u kampanji koja je gađala Salesloft Drift, a sada se ponavlja“ dodao je on.
Prema DataBreaches platformi, ShinyHunters je potvrdio napad. Grupa, poznata po brojnim kampanjama eksfiltracije podataka usmjerenim na Salesforce korisnike, tvrdi da je do sada napravila oko 1.000 žrtava.
Gainsight je i sam bio među organizacijama pogođenim nedavnom kampanjom u kojoj su hakeri napadali Salesforce korisnike kroz integracije sa AI chatbot rješenjem Salesloft Drift treće strane.
Stotine organizacija bile su pogođene, uključujući brojne bezbjednosne firme, nakon što su hakeri koristili kompromitovane OAuth tokene za eksfiltraciju velike količine podataka iz njihovih Salesforce instanci. Tokene su ukrali iz AWS instance Drift-a nakon kompromitovanja Salesloft GitHub naloga.
Izvor: SecurityWeek
