Η Salesforce λέει ότι ανακάλεσε τα κουπόνια ανανέωσης που συνδέονται με εφαρμογές που είχαν δημοσιευτεί από το Gainsight, ενώ διερευνά ένα νέο κύμα επιθέσεων κλοπής δεδομένων που στοχεύουν πελάτες.
Η εταιρεία λογισμικού που βασίζεται σε σύννεφο σημείωσε ότι αυτό δεν προέρχεται από μια ευπάθεια στην πλατφόρμα διαχείρισης σχέσεων πελατών (CRM), καθώς όλα τα στοιχεία δείχνουν ότι η κακόβουλη δραστηριότητα σχετίζεται με την εξωτερική σύνδεση της εφαρμογής με το Salesforce.
“Το Salesforce εντόπισε ασυνήθιστη δραστηριότητα που περιλαμβάνει εφαρμογές που έχουν δημοσιευτεί από το Gainsight που συνδέονται με το Salesforce, οι οποίες εγκαθίστανται και διαχειρίζονται απευθείας από πελάτες. Η έρευνά μας δείχνει ότι αυτή η δραστηριότητα μπορεί να έχει ενεργοποιήσει τη μη εξουσιοδοτημένη πρόσβαση σε δεδομένα Salesforce ορισμένων πελατών μέσω της σύνδεσης της εφαρμογής.” είπε σε μια ειδοποίηση της Πέμπτης το πρωί.
“Μετά τον εντοπισμό της δραστηριότητας, το Salesforce ανακάλεσε όλα τα ενεργά διακριτικά πρόσβασης και ανανέωσης που σχετίζονται με εφαρμογές που είχαν δημοσιευτεί από το Gainsight που συνδέονται με το Salesforce και αφαίρεσε προσωρινά αυτές τις εφαρμογές από το AppExchange όσο συνεχίζεται η έρευνά μας.”
Η Salesforce έχει ειδοποιήσει όλους τους πελάτες που επηρεάστηκαν για αυτό το περιστατικό και συμβούλεψε όσους χρειάζονται περαιτέρω βοήθεια να απευθυνθούν στην ομάδα βοήθειας του Salesforce.
Αν και η εταιρεία δεν έχει παράσχει περισσότερες λεπτομέρειες σχετικά με αυτές τις επιθέσεις, αυτό το περιστατικό είναι παρόμοιο με την παραβίαση του Salesloft τον Αύγουστο του 2025, όταν μια ομάδα εκβιαστών γνωστή ως “Scattered Lapsus$ Hunters” έκλεψε ευαίσθητες πληροφορίες, συμπεριλαμβανομένων κωδικών πρόσβασης, κλειδιών πρόσβασης AWS και διακριτικών Snowflake, από το Salesforce των πελατών, χρησιμοποιώντας τις περιπτώσεις Salesforce Dr. ενοποίηση συνομιλίας με το Salesforce.
Η ομάδα εκβιασμών ShinyHunters είπε στο BleepingComputer εκείνη την εποχή ότι οι επιθέσεις κλοπής δεδομένων της Salesloft επηρέασαν περίπου 760 εταιρείες, με αποτέλεσμα την κλοπή 1,5 δισεκατομμυρίων αρχείων Salesforce.
Οι εταιρείες που είναι γνωστό ότι έχουν επηρεαστεί από τις επιθέσεις της Salesloft περιλαμβάνουν την Google, το Cloudflare, Ρούμπρικ, Ελαστικό, Απόδειξη, JFrogZscaler, ΥποστηρίξιμοςPalo Alto Networks, CyberArk, BeyondTrust, Nutanix, Qualysκαι Cato Networks, μεταξύ πολλών άλλων.
Σήμερα, σε μηνύματα που αντάλλαξαν με το BleepingComputer, οι ShinyHunters ισχυρίστηκαν ότι απέκτησαν πρόσβαση σε άλλες 285 περιπτώσεις Salesforce μετά την παραβίαση του Gainsight μέσω μυστικών που είχαν κλαπεί κατά την παραβίαση του Salesloft drift.
Gainsight επιβεβαιώθηκε προηγουμένως Παραβιάστηκε μέσω κλεμμένων κουπονιών OAuth που συνδέονται με το Salesloft Drift και είπε ότι οι εισβολείς είχαν πρόσβαση στα στοιχεία επικοινωνίας της επιχείρησης, όπως ονόματα, διευθύνσεις email επιχειρήσεων, αριθμούς τηλεφώνου, λεπτομέρειες περιοχής/τοποθεσίας, πληροφορίες αδειοδότησης και περιεχόμενο υποθέσεων υποστήριξης.
Η BleepingComputer επικοινώνησε με το Gainsight με ερωτήσεις σχετικά με τις επιθέσεις κλοπής δεδομένων που σχετίζονται με εφαρμογές Gainsight, αλλά δεν υπήρξε άμεση απάντηση.
Καθώς το MCP (Model Context Protocol) γίνεται το πρότυπο για τη σύνδεση LLM με εργαλεία και δεδομένα, οι ομάδες ασφαλείας προχωρούν γρήγορα για να διατηρήσουν αυτές τις νέες υπηρεσίες ασφαλείς.
Αυτό το δωρεάν φύλλο εξαπάτησης περιγράφει 7 βέλτιστες πρακτικές που μπορείτε να αρχίσετε να χρησιμοποιείτε σήμερα.
VIA: bleepingcomputer.com
