Salesforceは、またしてもサードパーティベンダーに関わる情報漏洩により顧客データが侵害されたと発表し、水曜日の夜遅くにセキュリティ勧告で、Salesforce顧客環境に接続されたGainsightアプリケーションで異常な活動を検知したと警告しました。
「Google Threat Intelligence Groupは、200を超えるSalesforceインスタンスが影響を受けた可能性があることを把握しています」とGTIGの主任アナリスト、オースティン・ラーセン氏はCyberScoopに語りました。
この情報漏洩は、2か月足らず前にSalesloft DriftをSalesforceに統合した700社以上の顧客に影響を与えた大規模な下流攻撃と強い類似点があります。
「カスタマーサクセス」ソフトウェアを標榜するGainsightや、Salesloft DriftのSalesforce統合を標的とした攻撃も、同じ脅威グループまたは関連するサイバー犯罪者に結びついています。「これはおそらく同じ脅威クラスター—ShinyHuntersまたはUNC6240—であり、UNC6040などSalesforceインスタンスを標的とした最近の他のキャンペーンとも関連しています」とラーセン氏は述べました。
Salesforceは両方の攻撃に対し、顧客がサードパーティサービスをSalesforce環境に接続するためのトークンのアクセス権を取り消す対応を行いました。
「調査によると、この活動によりアプリの接続を通じて一部顧客のSalesforceデータに不正アクセスが可能になった可能性があります」とSalesforceは勧告で述べました。「この問題がSalesforceプラットフォームの脆弱性に起因するという証拠はありません。活動はアプリのSalesforceへの外部接続に関連しているようです。」
同社は、顧客環境での不正な活動をいつ、どのように把握したかについては明らかにしませんでした。Salesforceの広報担当者は追加情報を提供せず、必要に応じてセキュリティページを更新し、さらなる情報や顧客向けガイダンスを掲載すると述べました。
GainsightのSalesforceコネクタを起点とする攻撃で影響を受けた組織は不明ですが、同プラットフォームには約1,000社の顧客がおり、多くの有名企業やテクノロジー企業も含まれています。
Gainsightは水曜日の夜遅く、自社のステータスページでSalesforce接続障害に関する初の公的警告を発表しました。「Gainsightが公開しているアプリケーションのアクセストークン取り消しにつながった異常な活動について、Salesforceと引き続き緊密に連携して調査を進めています」と同社は木曜日の更新で述べました。
同社によると、Gainsightアプリは「一時的にHubspot Marketplaceからも削除」されており、この措置により同プラットフォームとの顧客接続におけるOAuthアクセスに影響が出る可能性があります。「現時点でHubspotに関連する不審な活動は確認されていません。これらはあくまで予防的措置です。」
より広範な影響は確認されていませんが、Salesforce以外にも影響が及ぶ可能性があることから、Gainsight顧客がプラットフォームに接続したあらゆるサービスが侵害された可能性があります。Googleのセキュリティ研究者が8月のSalesloft Drift攻撃に対応した際、AIチャットエージェントプラットフォームを他のサービスに統合したすべてのユーザーが侵害された可能性があると判断しました。
皮肉なことに、Gainsightは以前、前回の攻撃で影響を受けたSalesloft Driftの顧客の一つでもあると述べていました。
Gainsightは、社内調査が継続中であるとしつつ、顧客のアクセストークンがどのように侵害されたかについては明らかにしませんでした。Salesloftは最終的に、Driftサプライチェーン攻撃の根本原因を、3月にGitHubアカウントへのアクセスを得て、8月中旬の10日間で数百の組織からデータを窃取するまでSalesloftアプリケーション環境に潜伏していた脅威グループにあると特定しました。
Gainsightは、社内調査が継続中であるとし、コメント要請には応じませんでした。
翻訳元: https://cyberscoop.com/salesforce-gainsight-customers-breach/
