Salesforce ha advertido sobre la detección de una «actividad inusual» relacionada con las aplicaciones publicadas por GainSight conectadas a la plataforma.
«Nuestra investigación indica que esta actividad puede haber permitido el acceso no autorizado a los datos de Salesforce de ciertos clientes a través de la conexión de la aplicación», dijo la empresa. dijo en un aviso.
La empresa de servicios en la nube dijo que ha tomado la medida de revocar todos los tokens de acceso y actualización activos asociados con las aplicaciones publicadas en Gainsight conectadas a Salesforce. También ha eliminado temporalmente esas aplicaciones de AppExchange mientras continúa su investigación.
Salesforce no reveló cuántos clientes se vieron afectados por el incidente, pero dijo que se lo había notificado.
«No hay indicios de que este problema se deba a ninguna vulnerabilidad en la plataforma Salesforce», añadió la empresa. «La actividad parece estar relacionada con la conexión externa de la aplicación a Salesforce».
Por precaución, la aplicación Gainsight ha sido retirado temporalmente del HubSpot Marketplace. «Esto también puede afectar al acceso a Oauth para las conexiones de los clientes mientras se realiza la revisión», afirma Gainsight. «Hasta el momento no se ha observado ninguna actividad sospechosa relacionada con Hubspot».
En una publicación compartida en LinkedIn, Austin Larsen, analista principal de amenazas de Google Threat Intelligence Group (GTIG), la describió como una «campaña emergente» dirigida a las aplicaciones publicadas en Gainsight conectadas a Salesforce.
Se considera que la actividad está vinculada a actores de amenazas asociados con el grupo ShinyHunters (también conocido como UNC6240), lo que refleja un conjunto similar de ataques segmentar instancias de Salesloft Drift a principios de este mes de agosto.
Según DataBreaches.net, ShinyHunters tiene confirmada la campaña es obra suya y afirman que las oleadas de ataques de Salesloft y Gainsight les permitieron robar datos de casi 1000 organizaciones.
Curiosamente, Gainsight anteriormente dijo también fue uno de los clientes de Salesloft Drift afectados por el ataque anterior. Sin embargo, en este momento no está claro si la violación anterior influyó en el incidente actual.
En ese hackeo, los atacantes accedieron a los datos de contacto empresariales del contenido relacionado con Salesforce, incluidos los nombres, las direcciones de correo electrónico empresariales, los números de teléfono, los detalles regionales y de ubicación, la información sobre licencias de productos y el contenido de los casos de soporte (sin archivos adjuntos).
«Los adversarios se centran cada vez más en los tokens de OAuth de las integraciones SaaS de terceros confiables», dijo Larsen señaló .
En vista de la actividad maliciosa, se recomienda a las organizaciones que revisen todas las aplicaciones de terceros conectadas a Salesforce, revoquen los tokens de las aplicaciones sospechosas o no utilizadas y roten las credenciales si se detectan anomalías en una integración.