Μια εξελιγμένη επίθεση στην αλυσίδα εφοδιασμού φέρεται να έχει θέσει σε κίνδυνο τα δεδομένα εκατοντάδων οργανισμών, συνδέοντας την παραβίαση με μια κρίσιμη ενοποίηση μεταξύ της πλατφόρμας επιτυχίας πελατών Gainsight και του γίγαντα CRM Salesforce.
Η περιβόητη κολεκτίβα χάκερ ShinyHunters αναλαμβάνει την ευθύνη για την εισβολή, η οποία φέρεται να επηρεάζει περισσότερες από 200 εταιρείες. Ο φορέας επίθεσης δεν βασιζόταν στην άμεση εισβολή στο Salesforce, αλλά στην εκμετάλλευση της αξιόπιστης σύνδεσης που δημιουργήθηκε μέσω εφαρμογών τρίτων.
Στις 20 Νοεμβρίου 2025, η Salesforce ανέλαβε έκτακτη δράση για να περιορίσει την απειλή. Η εταιρεία απενεργοποίησε επίσημα τη σύνδεση μεταξύ εφαρμογών που δημοσιεύθηκαν από το Gainsight και του οικοσυστήματος Salesforce αφού εντόπισε «ασυνήθιστη δραστηριότητα».
Σύμφωνα με δήλωση της Salesforce, η έρευνά τους υποδηλώνει ότι η δραστηριότητα διευκόλυνε μη εξουσιοδοτημένη πρόσβαση στα δεδομένα πελατών, ειδικά μέσω της εξωτερικής σύνδεσης της εφαρμογής.
Αξιοποίηση αξιόπιστων διακριτικών OAuth
Οι μηχανισμοί αυτής της εκστρατείας υπογραμμίζουν μια αυξανόμενη τάση στον σύγχρονο κυβερνοπόλεμο: στοχεύοντας τα «κλειδιά» και όχι τις «κλειδαριές».
Η Google Threat Intelligence Group (GTIG), συμπεριλαμβανομένων ερευνητών από τη Mandiant, προσδιόρισε τους παράγοντες της απειλής ως θυγατρικές της ShinyHunters. Αυτοί οι αντίπαλοι παραβίασαν διακριτικά OAuth τρίτων.
Στο περιβάλλον SaaS, τα διακριτικά OAuth λειτουργούν σαν δελτία ψηφιακών αδειών, επιτρέποντας σε εφαρμογές όπως το Gainsight να συνομιλούν με το Salesforce χωρίς να απαιτείται από τον χρήστη να συνδέεται κάθε φορά.
Με την κλοπή αυτών των διακριτικών, οι εισβολείς θα μπορούσαν ενδεχομένως να παρακάμψουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων και τις τυπικές άμυνες σύνδεσης, μεταμφιεσμένοι ως η αξιόπιστη εφαρμογή για την εξαγωγή ευαίσθητων εταιρικών δεδομένων. Αυτή η μέθοδος επιτρέπει στους παράγοντες απειλής να κινούνται πλευρικά μέσα σε περιβάλλοντα cloud, ενώ παραμένουν απαρατήρητοι από την παραδοσιακή περιμετρική ασφάλεια.
Ενώ το εύρος της απώλειας δεδομένων είναι δυνητικά τεράστιο, η Salesforce ήταν σαφής στη διάκρισή της σχετικά με το πού έγκειται το σφάλμα. Η εταιρεία τόνισε ότι «δεν υπάρχει καμία ένδειξη ότι αυτό το ζήτημα προήλθε από κάποια ευπάθεια στην πλατφόρμα Salesforce». Αντίθετα, η παραβίαση σχετίζεται αυστηρά με την εξωτερική σύνδεση και τη διαχείριση των διαπιστευτηρίων για την ενσωμάτωση του Gainsight.
Προς το παρόν, οι πελάτες δεν μπορούν να συνδέσουν τις εφαρμογές τους που έχουν δημοσιευτεί από το Gainsight στο Salesforce μέχρι νεωτέρας. Τόσο η Salesforce όσο και η Mandiant ειδοποιούν ενεργά τους οργανισμούς που δείχνουν σημάδια συμβιβασμού.
Αυτό το περιστατικό αντικατοπτρίζει παρόμοιες εκστρατείες που παρατηρήθηκαν πρόσφατα, όπως επιθέσεις που στοχεύουν το Salesloft Drift, υποδηλώνοντας μια συντονισμένη προσπάθεια από ομάδες απειλών για έλεγχο και εκμετάλλευση οικοσυστημάτων SaaS όπου συχνά χορηγούνται άδειες τρίτων και ξεχνιούνται.
Επείγουσες ενέργειες για διαχειριστές SaaS
Αυτό το περιστατικό χρησιμεύει ως μια κρίσιμη κλήση αφύπνισης για οργανισμούς που βασίζονται σε διασυνδεδεμένες πλατφόρμες SaaS. Οι ομάδες ασφαλείας καλούνται να το αντιμετωπίσουν αμέσως ως σήμα για τον έλεγχο ολόκληρου του περιβάλλοντος cloud τους.
Η κύρια σύσταση είναι να ελέγξετε όλες τις συνδεδεμένες εφαρμογές σε παρουσίες Salesforce και να ανακαλέσετε τα διακριτικά OAuth για οποιαδήποτε ενσωμάτωση που δεν χρησιμοποιείται, είναι ύποπτη ή σχετίζεται με τις επηρεαζόμενες εφαρμογές Gainsight.
Οι οργανισμοί που χρησιμοποιούν ενσωματώσεις Gainsight θα πρέπει να παρακολουθούν για επίσημες επικοινωνίες και από τους δύο προμηθευτές, Salesforce και Gainsight.
Ωστόσο, απαιτείται προληπτική άμυνα. Εάν εντοπιστεί οποιαδήποτε ανώμαλη δραστηριότητα από μια ενοποίηση, οι διαχειριστές θα πρέπει να εναλλάξουν αμέσως τα διαπιστευτήρια και να υποθέσουν ότι υπάρχει ενδεχόμενος συμβιβασμός.
Καθώς οι φορείς απειλών στρέφονται όλο και περισσότερο προς επιθέσεις που βασίζονται σε ταυτότητα και κλοπή διακριτικών, η διατήρηση αδειών τρίτων έχει γίνει εξίσου ζωτικής σημασίας με την επιδιόρθωση ευπαθειών λογισμικού.
Ακολουθεί ο πίνακας των δεικτών συμβιβασμού (IoC) που σχετίζονται με την καμπάνια ShinyHunters που στοχεύει τις ενσωματώσεις Salesforce και Gainsight.
| Τύπος ΔΟΕ | Αξία | Πρώτη εμφάνιση (UTC) | Τελευταία επίσκεψη (UTC) | Παρατηρούμενη Δραστηριότητα |
|---|---|---|---|---|
| Διεύθυνση IP | 104.3.11[.]1 | 2025-11-08 13:11:29 | 2025-11-08 13:15:23 | AT&T IP; αναγνώριση και μη εξουσιοδοτημένη πρόσβαση. , |
| Διεύθυνση IP | 198.54.135[.]148 | 2025-11-16 21:48:03 | 2025-11-16 21:48:03 | IP διακομιστή μεσολάβησης Mullvad VPN. αναγνώριση και μη εξουσιοδοτημένη πρόσβαση. , |
| Διεύθυνση IP | 198.54.135[.]197 | 2025-11-16 22:00:56 | 2025-11-16 22:06:57 | IP διακομιστή μεσολάβησης Mullvad VPN. αναγνώριση και μη εξουσιοδοτημένη πρόσβαση. , |
| Διεύθυνση IP | 198.54.135[.]205 | 2025-11-18 10:43:55 | 2025-11-18 12:09:35 | IP διακομιστή μεσολάβησης Mullvad VPN. αναγνώριση και μη εξουσιοδοτημένη πρόσβαση. obsi, |
| Διεύθυνση IP | 146.70.171[.]216 | 2025-11-18 20:21:48 | 2025-11-18 20:50:13 | IP διακομιστή μεσολάβησης Mullvad VPN. αναγνώριση και μη εξουσιοδοτημένη πρόσβαση. , |
| Διεύθυνση IP | 169.150.203[.]245 | 2025-11-18 20:54:02 | 2025-11-18 23:04:12 | IP διακομιστή μεσολάβησης Surfshark VPN. αναγνώριση και μη εξουσιοδοτημένη πρόσβαση. , |
| Διεύθυνση IP | 172.113.237[.]48 | 2025-11-18 21:23:29 | 2025-11-18 21:51:32 | IP διακομιστή μεσολάβησης NSocks VPN. αναγνώριση και μη εξουσιοδοτημένη πρόσβαση. , |
| Διεύθυνση IP | 45.149.173[.]227 | 2025-11-18 22:05:15 | 2025-11-18 22:05:18 | IP διακομιστή μεσολάβησης Surfshark VPN. αναγνώριση και μη εξουσιοδοτημένη πρόσβαση. , |
| Διεύθυνση IP | 135.134.96[.]76 | 2025-11-19 08:26:18 | 2025-11-19 10:30:37 | IP μεσολάβησης IProxyShop VPN; αναγνώριση και μη εξουσιοδοτημένη πρόσβαση. , |
| Διεύθυνση IP | 65.195.111[.]21 | 2025-11-19 10:57:37 | 2025-11-19 10:59:19 | IP μεσολάβησης IProxyShop VPN; αναγνώριση και μη εξουσιοδοτημένη πρόσβαση. , |
| Διεύθυνση IP | 65.195.105[.]81 | 2025-11-19 11:17:51 | 2025-11-19 11:48:07 | IP διακομιστή μεσολάβησης Nexx VPN. αναγνώριση και μη εξουσιοδοτημένη πρόσβαση. , |
| Διεύθυνση IP | 65.195.105[.]153 | 2025-11-19 12:23:17 | 2025-11-19 12:23:35 | ProxySeller VPN διακομιστή μεσολάβησης; αναγνώριση και μη εξουσιοδοτημένη πρόσβαση. , |
| Διεύθυνση IP | 45.66.35[.]35 | 2025-11-19 12:47:43 | 2025-11-19 12:47:45 | IP διακομιστή μεσολάβησης Tor VPN. αναγνώριση και μη εξουσιοδοτημένη πρόσβαση. , |
| Διεύθυνση IP | 146.70.174[.]69 | 2025-11-19 12:47:49 | 2025-11-19 12:47:49 | IP διακομιστή μεσολάβησης Proton VPN. αναγνώριση και μη εξουσιοδοτημένη πρόσβαση. , |
| Διεύθυνση IP | 82.163.174[.]83 | 2025-11-19 14:30:36 | 2025-11-19 22:26:46 | ProxySeller VPN διακομιστή μεσολάβησης; αναγνώριση και μη εξουσιοδοτημένη πρόσβαση. , |
| Διεύθυνση IP | 3.239.45[.]43 | 2025-10-23 00:17:22 | 2025-10-23 00:45:36 | AWS IP; αναγνώριση κατά πελατών με παραβιασμένο διακριτικό πρόσβασης Gainsight. , |
| Πράκτορας χρήστη | python-requests/2.28[.]1 | 2025-11-08 13:11:19 | 2025-11-08 13:15:01 | Δεν είναι μια αναμενόμενη συμβολοσειρά παράγοντα χρήστη που χρησιμοποιείται από τη συνδεδεμένη εφαρμογή Gainsight. χρήση σε συνδυασμό με άλλες κοινές ΔΟΕ. , |
| Πράκτορας χρήστη | python-requests/2.32[.]3 | 2025-11-16 21:48:03 | 2025-11-16 21:48:03 | Δεν είναι μια αναμενόμενη συμβολοσειρά παράγοντα χρήστη που χρησιμοποιείται από τη συνδεδεμένη εφαρμογή Gainsight. χρήση σε συνδυασμό με άλλες κοινές ΔΟΕ. , |
| Πράκτορας χρήστη | python/3.11 aiohttp/3.13[.]1 | 23-10-2025 00:00:00 | 2025-10-23 00:01:00 | Δεν είναι μια αναμενόμενη συμβολοσειρά παράγοντα χρήστη που χρησιμοποιείται από τη συνδεδεμένη εφαρμογή Gainsight. χρήση σε συνδυασμό με άλλες κοινές ΔΟΕ. , |
| Πράκτορας χρήστη | Salesforce-Multi-Org-Fetcher/1.0 | 2025-11-18 22:05:13 | 2025-11-19 22:24:01 | Μόχλευση από τον παράγοντα απειλής για μη εξουσιοδοτημένη πρόσβαση. παρατηρήθηκε επίσης στη δραστηριότητα Salesloft Drift. , |
