Salesforce, Gainsight adlı bir yazılım şirketi tarafından yayınlanan bağlantılı uygulamaları kullanarak müşteri ortamlarına yetkisiz erişime izin vermiş olabilecek şüpheli etkinlikleri araştırdığını söyledi. Salesforce’un Çarşamba akşamı yayınladığı güvenlik tavsiyesine göre.
Salesforce, uygulama bağlantısının bilgisayar korsanlarının belirli müşterilerin Salesforce verilerine erişmesine izin vermiş olabileceğini söyledi.
Buna yanıt olarak Salesforce, Gainsight tarafından yayınlanan ve Salesforce’a bağlı uygulamalarla bağlantılı “tüm aktif ve yenileme belirteçlerini iptal etti”. Ayrıca şirket, uygulamaları AppExchange pazarından geçici olarak kaldırdı.
Google Tehdit İstihbarat Grubu’ndaki araştırmacılar, ShinyHunters’la bağlantılı bilgisayar korsanlarının, Salesforce müşteri örneklerine potansiyel olarak yetkisiz erişim sağlamak için OAuth belirteçlerini tehlikeye attığını gözlemlediklerini söyledi.
GTIG’nin baş tehdit analisti Austin Larsen, “Düşmanlar giderek daha fazla güvenilir üçüncü taraf SaaS entegrasyonlarının OAuth tokenlerini hedef alıyor” dedi. bir LinkedIn gönderisinde söyledi. “Bunu yakın zamanda Salesloft Drift’i hedef alan kampanyada gördük ve şimdi de tekrar görüyoruz.”
Salesloft Drift kampanyası sırasında bilgisayar korsanları Yüzlerce kuruluşu hedef aldı Potansiyel takip saldırıları için kimlik bilgilerini toplamak amacıyla yapay zeka tabanlı uygulamayı kullanma.
GTIG’nin olay müdahale birimi Salesforce ve Mandiant, mevcut tehdit kampanyasından etkilenmiş olabilecek kuruluşları bilgilendiriyor.
Gainsight, bir müşteri destek gönderisinde tokenlerin iptal edilmesine yol açan sorunları araştırmak için Salesforce ile birlikte çalıştığını söyledi.
Salesforce, Gainsight etkinliğinin Salesforce platformundaki bir güvenlik açığıyla ilgili olduğuna dair hiçbir belirti olmadığını söyledi.
GTIG araştırmacıları, güvenlik ekiplerinin SaaS ortamlarını denetlemesi ve kullanılmayan veya şüpheli uygulamalar için OAuth belirteçlerini incelemesi gerektiğini söyledi. Olağandışı bir etkinlik tespit edilirse güvenlik ekipleri kimlik bilgilerini derhal değiştirmelidir.
Gainsight ve Salesforce temsilcileri yorumda bulunamadı