Salesforce đã cảnh báo về việc phát hiện "hoạt động bất thường" liên quan đến các ứng dụng do Gainsight phát hành được kết nối với nền tảng.
"Cuộc điều tra của chúng tôi cho thấy hoạt động này có thể đã cho phép truy cập trái phép vào dữ liệu Salesforce của một số khách hàng thông qua kết nối của ứng dụng," công ty cho biết trong một thông báo.
Công ty dịch vụ đám mây cho biết họ đã thực hiện bước thu hồi tất cả các mã thông báo truy cập và làm mới (access and refresh tokens) đang hoạt động liên quan đến các ứng dụng do Gainsight phát hành được kết nối với Salesforce. Họ cũng đã tạm thời gỡ bỏ các ứng dụng đó khỏi AppExchange trong khi cuộc điều tra đang tiếp diễn.
Salesforce không tiết lộ có bao nhiêu khách hàng bị ảnh hưởng bởi sự cố này, nhưng cho biết đã thông báo cho họ.
"Không có dấu hiệu nào cho thấy vấn đề này bắt nguồn từ bất kỳ lỗ hổng nào trong nền tảng Salesforce," công ty nói thêm. "Hoạt động này dường như liên quan đến kết nối bên ngoài của ứng dụng với Salesforce."
Do hết sức thận trọng, ứng dụng Gainsight đã bị tạm thời gỡ bỏ khỏi HubSpot Marketplace. Gainsight cho biết: "Điều này cũng có thể ảnh hưởng đến quyền truy cập OAuth đối với các kết nối của khách hàng trong khi quá trình xem xét đang diễn ra. Hiện tại, không có hoạt động đáng ngờ nào liên quan đến Hubspot được ghi nhận."
Trong một bài đăng trên LinkedIn, Austin Larsen, nhà phân tích mối đe dọa chính tại Google Threat Intelligence Group (GTIG), mô tả đây là một "chiến dịch mới nổi" (emerging campaign) nhắm mục tiêu vào các ứng dụng do Gainsight phát hành được kết nối với Salesforce.
Hoạt động này được đánh giá là có liên quan đến các tác nhân đe dọa thuộc nhóm ShinyHunters (hay còn gọi là UNC6240), phản ánh một loạt các cuộc tấn công tương tự nhắm vào các phiên bản Salesloft Drift vào đầu tháng 8 vừa qua.
Theo DataBreaches.Net, ShinyHunters đã xác nhận chiến dịch này là do chúng thực hiện và tuyên bố rằng các đợt tấn công vào Salesloft và Gainsight đã cho phép chúng đánh cắp dữ liệu từ gần 1000 tổ chức.
Điều thú vị là, Gainsight trước đây cho biết họ cũng là một trong những khách hàng của Salesloft Drift bị ảnh hưởng trong cuộc tấn công trước đó. Tuy nhiên, ở giai đoạn này vẫn chưa rõ liệu vụ vi phạm trước đó có đóng vai trò gì trong sự cố hiện tại hay không.
Trong vụ tấn công đó, những kẻ tấn công đã truy cập thông tin chi tiết liên hệ kinh doanh cho nội dung liên quan đến Salesforce, bao gồm tên, địa chỉ email doanh nghiệp, số điện thoại, chi tiết khu vực/địa điểm, thông tin cấp phép sản phẩm và nội dung các trường hợp hỗ trợ (không kèm tệp đính kèm).
"Các đối thủ ngày càng nhắm mục tiêu vào các OAuth tokens của các tích hợp SaaS bên thứ ba đáng tin cậy," Larsen chỉ ra.
Trước hoạt động độc hại này, các tổ chức được khuyến cáo nên xem xét tất cả các ứng dụng của bên thứ ba được kết nối với Salesforce, thu hồi các mã thông báo (tokens) cho các ứng dụng không sử dụng hoặc đáng ngờ, và xoay vòng thông tin xác thực (rotate credentials) nếu có bất thường được gắn cờ từ một tích hợp.
