Salesforce advirtió que había detectado «actividad anómala» relacionada con las aplicaciones publicadas por Gainsight conectadas a su plataforma.
«Nuestra investigación reveló que esta actividad puede haber permitido el acceso no autorizado a los datos de Salesforce de ciertos clientes a través de conexiones de aplicaciones», dijo la compañía en su aviso.
La compañía de servicios en la nube anunció que ha tomado medidas para revocar todos los tokens de acceso activo y actualización asociados con las aplicaciones publicadas de Gainsight conectadas a Salesforce. También eliminamos temporalmente estas aplicaciones de AppExchange mientras continuamos nuestra investigación.
Salesforce no dijo cuántos clientes se vieron afectados por el incidente, pero dijo que les había notificado.
«No hay indicios de que este problema se deba a una vulnerabilidad en la plataforma Salesforce», añadió la empresa. «Esta actividad parece estar relacionada con la conexión externa de su aplicación a Salesforce».
Por precaución, la aplicación Gainsight se eliminó temporalmente de HubSpot Marketplace. «Esto también puede afectar el acceso de Oauth para las conexiones de los clientes mientras la revisión está en curso», dijo Gainsight. «En este momento, no hemos observado ninguna actividad sospechosa relacionada con Hubspot».
En una publicación compartida en LinkedIn, Austin Larsen, analista principal de amenazas de Google Threat Intelligence Group (GTIG), describió esto como una «nueva campaña» dirigida a las aplicaciones publicadas por Gainsight conectadas a Salesforce.
Se considera que esta actividad está asociada con actores de amenazas asociados con el grupo ShinyHunters (también conocido como UNC6240) y refleja una serie similar de ataques dirigidos a instancias de Salesloft Drift a principios de agosto de este año.
Según DataBreaches.Net, ShinyHunters reconoció la campaña y dijo que las oleadas de ataques de Salesloft y Gainsight pudieron robar datos de aproximadamente 1.000 organizaciones.
Curiosamente, Gainsight declaró anteriormente que también era uno de los clientes de Salesloft Drift afectados en el ataque anterior. Sin embargo, en este momento no está claro si en este incidente estuvieron implicadas infracciones anteriores.
En este hack, los atacantes accedieron a los detalles de contacto de la empresa para contenido relacionado con Salesforce, incluido el nombre, la dirección de correo electrónico de la empresa, el número de teléfono, los detalles de la región/ubicación, la información de la licencia del producto y el contenido del caso de soporte (sin archivos adjuntos).
«Los atacantes apuntan cada vez más a tokens OAuth de integraciones SaaS de terceros confiables», señaló Larsen.
A la luz de esta actividad maliciosa, se alienta a las organizaciones a revisar todas las aplicaciones de terceros conectadas a Salesforce, revocar tokens para aplicaciones sospechosas o no utilizadas y rotar credenciales si una integración informa anomalías.
Source link
