Salesforce, Gainsight müşteri başarı platformu aracılığıyla müşterilerin Salesforce verilerine olası yetkisiz erişimi araştırıyor.
Salesforce bugün bir danışma belgesinde, “Araştırmamız, bu etkinliğin, uygulamanın bağlantısı aracılığıyla belirli müşterilerin Salesforce verilerine yetkisiz erişime olanak vermiş olabileceğini gösteriyor” dedi.
Salesforce’un tavsiyesi ayrıntılı değildi ancak olay, yakın zamanda Salesloft Drift platformunda meydana gelen ve yüzlerce olmasa da düzinelerce kuruluşun Salesforce ortamlarını tehlikeye sokan OAuth tabanlı bir ihlalle benzerlikler taşıyor gibi görünüyor. Bu ihlal, Scattered LAPSUS$ Hunters tehdit grubuyla bağlantılıydı.
The Cyber Express ile yapılan bir e-posta alışverişinde, Scattered LAPSUS$ Hunters da mevcut Gainsight olayının sorumluluğunu üstlendi.
Grup The Cyber Express’e “Evet, bundan biz sorumluyuz” dedi. “300’e yakın kuruluş bundan etkilendi.”
Grup, son olayda vurulduğu iddia edilen dört büyük organizasyonun adını verdi ancak The Cyber Express’in politikası, doğrulanmamış siber saldırı kurbanlarının isimlerini vermemekti.
Salesforce, Gainsight Uygulamasını İçeren ‘Olağandışı Etkinlik’ Tespit Ediyor
Salesforce, danışma belgesinde “Salesforce’a bağlı Gainsight tarafından yayınlanan uygulamaları içeren olağandışı etkinlik” tespit ettiğini söyledi. Bu uygulamalar doğrudan müşteriler tarafından yüklenir ve yönetilir.
CRM satıcısı, “Araştırmamız, bu etkinliğin, uygulamanın bağlantısı üzerinden belirli müşterilerin Salesforce verilerine yetkisiz erişime olanak sağlamış olabileceğini gösteriyor” dedi. “Etkinliği tespit ettikten sonra Salesforce, Salesforce’a bağlı Gainsight tarafından yayınlanan uygulamalarla ilişkili tüm aktif erişimi ve yenileme belirteçlerini iptal etti ve araştırmamız devam ederken bu uygulamaları geçici olarak AppExchange’ten kaldırdı.”
Salesforce, olayın Salesforce platformundaki bir güvenlik açığından kaynaklandığına dair “hiçbir gösterge” olmadığını söyledi. Şirket, “Etkinliğin, uygulamanın Salesforce ile harici bağlantısıyla ilgili olduğu görülüyor” dedi.
Salesforce, etkilenen müşterileri doğrudan bilgilendirdiğini ve güncellemeler sağlamaya devam edeceğini söyledi. CRM satıcısı, yardıma ihtiyacı olan müşterilerin Salesforce Yardımı aracılığıyla şirkete ulaşabileceğini söyledi.
Salesloft Drift İhlali Gainsight’ı da Etkiledi
Mevcut olayın boyutunun anlaşılması biraz zaman alacak ancak Salesloft Drift olayı, aralarında Google, Cloudflare, Palo Alto Networks’ün ve daha pek çok tanınmış ismin de bulunduğu çok sayıda tanınmış şirketin CRM ortamlarını etkiledi. Dağınık LAPSUS$ tehdit grubu, Salesforce ortamlarına da sosyal mühendislik saldırıları başlattı.
Dağınık LAPSUS$ Hunters, Salesloft Drift olayında 760 kuruluşun vurulduğunu iddia ediyor; bunlardan biri Gainsight’ın kendi Salesforce ortamıydı.
Cyber Express, yorum almak için Gainsight’a ulaştı ve yeni bilgiler ortaya çıktıkça bu hikayeyi güncelleyecek.