新たなサイバーインシデントが、Salesloft Driftハックから3か月後にSalesforceの顧客データに影響を及ぼした可能性があります。
11月20日、カスタマーサポートプラットフォームプロバイダーのGainsightは、SalesforceがGainsight SFDC Connectorのアクティブアクセスを取り消したことにより、接続障害を特定したと発表しました。このコネクタはGainsightアプリケーションがSalesforceに接続するためのものです。
同じく11月20日に公開されたSalesforceのセキュリティアドバイザリでは、Salesforceに接続されたGainsight提供のアプリケーションに関与する異常な活動を特定したと述べられています。
これを受けて、同社はすべてのGainsightアプリケーションへのアクセスを取り消し、一時的にAppExchangeから削除しました。
Salesforceは、悪意のある活動によってアプリの接続を通じて顧客データへの不正アクセスが可能になった可能性があると評価しています。
「この問題がSalesforceプラットフォームの脆弱性によるものであるという兆候はありません。この活動はアプリのSalesforceへの外部接続に関連しているようです」とSalesforceのアドバイザリには記載されています。
Gainsightは予防措置として、HubspotおよびZendeskとの接続も無効化しました。
その後のアップデートで、カスタマーサポートプロバイダーは、Google Cloud傘下のMandiantと協力してフォレンジック調査を進めていると述べました。
Scattered Lapsus$ HuntersがGainsightハックを主張
ブログDataBreaches.netで、「Dissent」として知られる著者は、Scattered Spider-ShinyHunters-Lapsus$集団(時に「Scattered Lapsus$ Hunters」とも呼ばれる)の関係者に問い合わせ、彼らがGainsightを標的とした攻撃の責任を認めたと述べています。
脅威アクターはまた、Salesforceが要求に応じなければ、別の専用リークサイトを立ち上げる計画があるとDissentに伝えました。
このデータリークサイト(DLS)には、SalesloftおよびGainsightキャンペーンのデータが含まれる予定です。サイバー犯罪者の主張によれば、合計でほぼ1000社に及ぶとのことです。
「実際の企業のみ、主にFortune 500企業が掲載される予定ですし、私が価値があると感じたものも含まれます。Gainsightキャンペーンでの大手企業は、Verizon、Gitlab、F5、Sonicwallなどでした」と脅威アクターはDataBreaches.netに語りました。
最後に、このグループは11月24日に開始予定とされる新たなランサムウェア・アズ・ア・サービス(RaaS)を宣伝しました。
InfosecurityはGainsightにコメントを求めましたが、公開時点で回答は得られませんでした。
写真クレジット: Jonathan Weiss / gguy / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/new-gainsight-supply-chain-hack/
