Salesforce advirtió sobre la “actividad inusual” detectada relacionada con las aplicaciones publicadas por Gainsight conectadas a la plataforma.
“Nuestra investigación indica que esta actividad puede haber permitido el acceso no autorizado a los datos de Salesforce de ciertos clientes a través de la conexión de la aplicación”, dijo la compañía en un comunicado.
La compañía de servicios en la nube dijo que ha tomado la medida de revocar todos los tokens de acceso activo y actualización asociados con las aplicaciones publicadas por Gainsight conectadas a Salesforce. Además, estas aplicaciones se eliminaron temporalmente de AppExchange mientras continúa la investigación.
Salesforce no reveló cuántos clientes se vieron afectados por el incidente, pero dijo que les había notificado.
“No hay indicios de que este problema se deba a una vulnerabilidad en la plataforma Salesforce”, añadió la empresa. “La actividad parece estar relacionada con la conexión externa de la aplicación a Salesforce”.
Por precaución, la aplicación Gainsight se eliminó temporalmente de HubSpot Marketplace. “Esto también puede afectar el acceso de OAuth para las conexiones de los clientes mientras se lleva a cabo la verificación”, dijo Gainsight. “En este momento, no se ha observado ninguna actividad sospechosa relacionada con Hubspot”.
En una publicación compartida en LinkedIn, Austin Larsen, analista senior de amenazas de Google Threat Intelligence Group (GTIG), la describió como una “campaña emergente” dirigida a aplicaciones publicadas por Gainsight que están conectadas a Salesforce.
Se estima que la actividad está vinculada a actores de amenazas asociados con el grupo ShinyHunters (también conocido como UNC6240), lo que refleja una serie similar de ataques dirigidos a instancias de Salesloft Drift a principios de agosto.
Según DataBreaches.Net, ShinyHunters confirmó que la campaña es trabajo suyo y afirmó que las oleadas de ataques de Salesloft y Gainsight les permitieron robar datos de casi 1000 organizaciones.
Curiosamente, Gainsight dijo anteriormente que también era uno de los clientes de Salesloft Drift afectados por el ataque anterior. Sin embargo, en este momento no está claro si la infracción anterior influyó en el incidente actual.
En este hack, los atacantes accedieron a información de contacto comercial para contenido relacionado con Salesforce, incluidos nombres, direcciones de correo electrónico del trabajo, números de teléfono, información de región/ubicación, información de licencia de producto y contenido de casos de soporte (excluidos los archivos adjuntos).
“Los adversarios apuntan cada vez más a los tokens OAuth de integraciones SaaS de terceros confiables”, enfatizó Larsen.
Dada la actividad maliciosa, se recomienda a las organizaciones que revisen todas las aplicaciones de terceros conectadas a Salesforce, revoquen los tokens de aplicaciones sospechosas o no utilizadas y cambien las credenciales si se descubren anomalías en una integración.
About The Author
