Salesloft Drift tedarik zinciri ihlalinin tekrarı olabilecek bir olayda Salesforce, Salesforce’a bağlı Gainsight tarafından yayınlanan uygulamalarla ilgili olağandışı etkinlik tespit ettiklerini doğruladı.
Şirket, “Araştırmamız, bu etkinliğin, uygulamanın bağlantısı üzerinden belirli müşterilerin Salesforce verilerine yetkisiz erişime olanak vermiş olabileceğini gösteriyor. Etkinliği tespit ettikten sonra Salesforce, Salesforce’a bağlı Gainsight tarafından yayınlanan uygulamalarla ilişkili tüm aktif erişimi ve yenileme belirteçlerini iptal etti ve araştırmamız devam ederken bu uygulamaları geçici olarak AppExchange’ten kaldırdı” dedi.
“Bu sorunun Salesforce platformundaki herhangi bir güvenlik açığından kaynaklandığına dair bir gösterge yok.”
Gainsight kesintiyi doğruladı
Gainsight, özel bir araç (bağlayıcı) aracılığıyla müşterilerin Salesforce CRM ortamına entegre edilebilen “müşteri başarısı ve ürün deneyimi” platformu sunan bir şirkettir.
Şirketin durum sayfası şu anda, bugün erken saatlerde tanımlanan Salesforce bağlantı sorununun, Gainsight’ın SFDC Bağlayıcısı için Salesforce’un aktif erişimi (yani erişim belirteçlerini) iptal etmesinden kaynaklandığını söylüyor.
Şirket, dahili bir soruşturma başlattıklarını ve daha fazlasını öğrendiklerinde güncellemeleri paylaşacaklarını da sözlerine ekledi.
Bu arada Google Tehdit İstihbarat Grubu Baş Tehdit Analisti Austin Larsen, Salesloft Drift’in ele geçirildiğini iddia eden ShinyHunters’a bağlı tehdit aktörlerinin Salesforce müşteri örneklerine erişim sağlamak için Gainsight OAuth token’larından ödün verdiğinin gözlemlendiğini söyledi.
“Salesforce ve Mandiant (Google Cloud’un bir parçası), potansiyel olarak etkilenen kuruluşları aktif olarak bilgilendiriyor. Gainsight entegrasyonlarını kullanıyorsanız Gainsight ve Salesforce’tan gelen resmi iletişimleri izleyin” tavsiyesinde bulundu.
Ayrıca kuruluşlara, Salesforce örneklerine bağlı tüm üçüncü taraf uygulamalarını incelemeleri, kullanılmayan veya şüpheli uygulamalar için belirteçleri iptal etmeleri ve bir entegrasyonda anormal bir etkinlik tespit etmeleri durumunda kimlik bilgilerini derhal değiştirmeleri çağrısında bulundu.
DataBreaches.net’e göre ShinyHunters, katılımlarını doğruladı ve Salesloft ve Gainsight kampanyalarının yaklaşık 1000 kuruluşun verilerini çalmalarına olanak sağladığını belirtti.
Mandiant’ın Drift platformunun ve teknoloji entegrasyonlarının ele geçirilmesine ilişkin araştırması, saldırganların Drift’in AWS ortamı olan Salesloft GitHub hesabına erişmeyi başardıklarını ve buradan Drift müşterilerinin teknoloji entegrasyonları için OAuth tokenlarını çaldıklarını ortaya çıkardı.
Gainsight, Salesloft Drift saldırısının birçok kurbanından biriydi, ancak daha önceki ihlalin mevcut olayda bir rol oynayıp oynamadığı henüz belli değil.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!