Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Дежа Ву: Клиенти на Salesforce повторно хакирани – преку Gainsight

Објавено: 24.11.2025

Во повторување на сличните напади од летото, заканувачки актери поврзани со уценувачката група ShinyHunters користеле апликација од трета страна за кражба на податоци од Salesforce на организации.

Во речиси идентична реплика на посебна кампања ова лето, хакери поврзани со операцијата за уцена ShinyHunters повторно пробиле во многу Salesforce инстанци на организации преку интеграција од трета страна.

По пролетната вишинг-кампања насочена кон Salesforce опкружувањата на организациите, заканувачка група поврзана со ShinyHunters повторно го нападнала Salesforce во август. Напаѓачите извршиле пробив во синџирот на снабдување преку Drift на Salesloft, интегрирана апликација која користи вештачка интелигенција (AI) за автоматизација на маркетинг и продажни процеси. Тие упаднале во Salesloft, украле OAuth токени кои ги поврзуваат Drift и Salesforce, и ги искористиле за да пристапат до стотици Salesforce опкружувања на организации, со сите овластувања и дозволи кои тие организации ѝ ги доделиле на апликацијата Drift.

На пример, еден од погодените клиенти на Salesforce што ја користеле Drift бил Gainsight, програма за управување со задржување и задоволство на клиенти, која исто така е апликација поврзана со Salesforce како и Drift. Компанијата призна во безбедносно известување дека напаѓачите пристапиле до нејзината Drift инстанца и деловните податоци поврзани со неа, вклучувајќи деловни е-поштенски адреси, информации за лиценцирање на производи и содржини од случаи за корисничка поддршка.

Сега, нов поврзан кластер на закани извршил напад ист како претходниот, но наместо Drift ја користеле Gainsight, друга апликација од трета страна широко интегрирана во Salesforce. Напаѓачите повторно украле OAuth токени, кои можат да ги користат за компромитирање на Salesforce инстанците на клиентите.

Брајан Соби, главен технолошки директор (CTO) и коосновач на AppOmni, се чуди колку лесно изгледало сето тоа. „Мислам дека само го видоа успехот на кампањата со Drift и рекоа: ‘Ох, треба да го направиме истото наместо тоа’“, вели тој. „Фишинг на сите овие корисници е премногу работа. Ајде само да го пробиеме синџирот на снабдување и да ги земеме сите нивни креденцијали и тогаш сме добри.“

Истражувачи од Google Threat Intelligence Group (GTIG) јавно го припишаа нападот на хакери поврзани со ShinyHunters и изјавија дека биле погодени повеќе од 200 клиентски инстанци. DataBreaches.net директно стапил во контакт со групата, која ја потврдила одговорноста, тврдејќи дека преку Drift и Gainsight групата добила пристап до Salesforce податоците на речиси 1.000 организации.Dark Reading не потврди независно дека овие организации навистина биле погодени.

Одговорот на Salesforce: меч со две острици

Salesforce исто така привремено ги отстрани тие апликации од својот AppExchange маркет за апликации. Иако намерите можеби биле добри, а овие чекори корисни за запирање на напаѓачите, Соби предупредува дека ова е меч со две острици.

„Кога Salesforce легитимно ги заштити своите клиенти и ги избриша сите тие токени, тие исто така ги избришаа и сите записи за организациите со кои биле поврзани. Така, сега немате поим кои корисници и какви активности треба да ги истражувате за да утврдите дали нешто било украдено. И немате поим до што Gainsight претходно имал можност да пристапи, бидејќи сето тоа е избришано. Значи, тоа ги штити клиентите, но ги става во тешка позиција.“

Тој потсетува дека Salesforce го сторил истото и во случајот со Drift, оставајќи никакви записи за истрага. „Дали во целина е добро? Да, добро е што Salesforce го отстрани тековниот пристап од активен пробив. Но дали тоа доаѓа со компромиси? И тоа како.“

Salesforce појасни во безбедносно известување дека „нема индикации дека овој инцидент е резултат на ранливост во платформата Salesforce. Активноста изгледа дека е поврзана со надворешната конекција на апликацијата со Salesforce.“ Сепак, по откривањето на злонамерната активност, компанијата презеде два главни чекори за ограничување на штетата. Прво, ги поништи сите активни пристапни и освежувачки токени поврзани со апликации објавени преку Gainsight — и Salesforce го направи тоа толку брзо што Gainsight првично не беше свесен и го припиша прекинот на конекцијата на техничка грешка.

Пробивот на Gainsight не завршува со Salesforce

Она што е најнеповолно е колку лесно организациите можеле да се заштитат и од нападите преку Drift и Gainsight, како и од сите слични или последователни напади што би можеле да следат.

Соби посочува дека: „Со Drift, тие влегоа преку апликацијата, ја погодија SaaS околината, а потоа почнаа да пребаруваат по разни места барајќи лошо управувани креденцијали. Но, тие не требало да имаат пристап до 95% од тие работи, бидејќи тоа е апликација за продажна интелигенција. Зошто ѝ давате на Drift широк пристап до сите ваши околини?“

Решението, според него, е дека „организациите треба прецизно да дефинираат дека во Salesforce може да пристапува само до сметки, можности и контакти — и ништо друго. Тоа значително ќе го ублажи проблемот.“

Пошироко гледано, организациите треба да го преиспитаат својот однос со платформите за софтвер како услуга (SaaS). „SaaS апликациите генерално се продаваат со пораката: сè е управувано за вас. Тотално е безбедно, не мора да правите многу, само оставете ја вашата бизнис-единица да го користи. А како што се покажува, тоа е ужасна стратегија, бидејќи вашите бизнис-единици не се доволно мотивирани околу безбедноста. Тие се обидуваат да продаваат или да обезбедат корисничка поддршка или маркетинг. Тоа им е приоритет. Тие не размислуваат од безбедносен аспект,“ вели тој.

„Така завршувате во ситуации каде што безбедносниот тим мисли дека бизнис-единицата има сè под контрола, а бизнис-единицата дури и не сфаќа дека тоа е нејзина одговорност,“ продолжува тој. „Оваа недела има безбедносни тимови кај добавувачи кои си велат: Дали користиме Gainsight? Тие се враќаат кај луѓето за набавка и правниот тим и прашуваат: ‘Еј, дали воопшто имаме договор со компанија наречена Gainsight?’“

Во брзањето да ги идентификуваат и обезбедат своите Salesforce околини, организациите можат да пропуштат дека Gainsight исто така се интегрира со широк спектар на други платформи — од Slack и Microsoft Teams, до HubSpot, Zendesk, ServiceNow, Jira, Snowflake и многу други. Ако сè е еднакво, нема причина било кој софтвер интегриран со Gainsight денес да биде во помал ризик отколку Salesforce.

Соби смета дека: „Ако ѝ кажете на една компанија дека мора веднаш да го исклучи Gainsight, бидејќи е компромитиран, се обложувам дека 99% од компаниите не ни знаат каде да одат. Веројатно ќе влезат во Salesforce. Но, дали сфаќате дека е поврзан и со Snowflake? Дали сфаќате дека е поврзан и со работни простори? Апсолутно не.“

Извори:

  • DarkReading – Deja Vu: Salesforce Customers Hacked Again, Via Gainsight DarkReading