A Salesforce identificou uma “atividade incomum” envolvendo aplicações publicadas pela Gainsight conectadas à sua plataforma.
Segundo a empresa, a investigação indica que essa ação pode ter permitido acesso não autorizado a dados de alguns clientes por meio da conexão dos aplicativos.
Para conter o problema, a Salesforce revogou todos os tokens de acesso e refresh ativos associados às aplicações da Gainsight.
Além disso, os apps foram temporariamente removidos do AppExchange enquanto a investigação continua.
A empresa não divulgou a quantidade de clientes afetados, mas confirmou que já os notificou.
A companhia ressaltou que não há indícios de que a falha tenha origem em vulnerabilidades da própria plataforma Salesforce.
“A atividade parece estar relacionada à conexão externa do aplicativo com o Salesforce”, explicou.
Por precaução, a Gainsight retirou temporariamente seu app do HubSpot Marketplace, o que pode afetar o acesso via OAuth para conexões dos clientes durante a revisão.
Até o momento, não foram detectadas atividades suspeitas relacionadas ao HubSpot.
Austin Larsen, principal analista de ameaças do Google Threat Intelligence Group (GTIG), classificou o caso como uma “campanha emergente” que mira aplicações da Gainsight integradas ao Salesforce.
Acredita-se que o ataque esteja ligado ao grupo de cibercriminosos conhecido como ShinyHunters (também chamado UNC6240), que realizou ações semelhantes contra instâncias do Salesloft Drift em agosto.
Segundo o site DataBreaches.Net, o ShinyHunters confirmou ser responsável pela campanha e afirmou que as ondas de ataque a Salesloft e Gainsight resultaram no furto de dados de cerca de 1.000 organizações.
A Gainsight havia revelado que também foi vítima do ataque anterior contra o Salesloft Drift, embora ainda não esteja claro se esse incidente tem relação com o atual.
Na invasão passada, os criminosos obtiveram informações de contato corporativas ligadas a conteúdos do Salesforce, incluindo nomes, e-mails comerciais, telefones, localização regional, dados de licenciamento de produtos e informações sobre casos de suporte, sem anexos.
“Adversários estão cada vez mais mirando tokens OAuth de integrações SaaS de terceiros confiáveis”, destacou Larsen.
Diante dessa ameaça, especialistas recomendam que organizações revisem todos os aplicativos de terceiros conectados ao Salesforce, revoguem tokens de apps não utilizados ou suspeitos e façam a rotação de credenciais caso detectem qualquer comportamento anômalo nas integrações.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...