GainsightのCEOであるChuck Ganapathi氏は、自社で最近発生した侵害に関連する被害者数を過小評価し、SalesforceがGainsightの接続アプリに関する異常な活動を検知した後にデータへ影響が及んだのは「ごく一部の顧客」だけだと認識していると述べた。
これは、Google Threat Intelligence Groupの主席アナリストであるAustin Larsen氏が先週The Registerに語った内容と矛盾している。同氏は「GTIGは、影響を受けた可能性のあるSalesforceインスタンスを200件以上把握している」と述べた。またLarsen氏は、デジタル侵入の背後にはShinyHuntersが「いる可能性が高い」とも述べており、この見解は後に恐喝グループ側が確認し、The Registerに認めている。
Google傘下のMandiantインシデントレスポンスチームが、この侵害に関連するフォレンジック調査を支援している。
Salesforceは11月19日に初めてこの不審な活動を公表し、その対応として、CRM大手である同社に接続されているGainsight製アプリケーションに紐づくすべてのアクセスおよびリフレッシュトークンを失効させた。
火曜日のアップデートおよびその後にGanapathi氏が公開したブログ投稿で、同社はフォレンジック分析を継続中であり、Salesforceとの連携は依然として無効化されたままで、接続アプリがいつオンラインに戻るかについては未定だと述べた。
「Salesforceは侵害された顧客トークンを特定しましたが、現時点で当社が把握しているのは、データに影響を受けた顧客がごく一部にとどまるということです」とGanapathi氏は述べた。「Salesforceは影響を受けた顧客に通知しており、当社もそれぞれの顧客に連絡を取り、サポートを提供するとともに、直接対応にあたっています。」
水曜日の時点で、Gainsightは「GSuiteをSSOに利用している一部の顧客におけるログイン問題を調査中」としていた。
Gainsightは、この侵害に関するThe Registerからの質問、特に影響を受けた顧客数の食い違いや、他の接続が影響を受けたかどうかについては回答しなかった。Salesforceに加え、このカスタマーサクセスプラットフォームはHubSpotなど複数の他のCRMや、Zendeskのようなサポートツールとも連携している。
先週、ZendeskとHubSpotの双方が、自社コネクタによるGainsightへのアクセスを取り消した。
Salesforceもまた、Gainsight侵害によってどれだけの自社顧客が影響を受けたのかなど、The Registerからの問い合わせには回答しなかった。同社のセキュリティ勧告には、脅威インテリジェンスチームがShinyHuntersと関連付けた侵害の兆候一覧も含まれており、ネットワーク防御担当者は注意深く確認すべきだろう。
「Gainsightが皆さまの日々の業務にとっていかに重要であるかを私たちは理解しており、当社製品へのアクセスを確保する責任を個人的にも重く受け止めています」とGanapathi氏は火曜日のブログ投稿で記し、侵害を知って以来、同社はタウンホールミーティングを開催し、Salesforceとの接続がオフラインの間、顧客が自社のカスタマーサクセスインスタンスを管理できるよう支援するチームを立ち上げたと付け加えた。
「今後数日以内に、こうした取り組みの詳細や、追加のガイダンスおよびリソースについて、当社のコミュニティページで共有していきます」と同氏は述べた。®
