Salesforce 調查與 Gainsight 應用程序洩露有關的客戶數據盜竊
Salesforce 發現涉及 Gainsight 發布的應用程序的異常活動後,正在調查一起安全事件。 Gainsight 是一家客戶成功軟件提供商,其工具直接與 Salesforce 環境集成。該公司證實,黑客可能通過這些第三方應用程序未經授權訪問了某些客戶的數據。
在周四發布的一份諮詢報告中Salesforce強調,該事件並非由其自身平台內的任何漏洞或缺陷引起。相反,早期發現表明,當客戶從 Salesforce 的 AppExchange 市場安裝並授權 Gainsight 發布的應用程序時,所創建的外部連接受到了損害。
推薦閱讀:馬莎百貨遭遇網絡攻擊,客戶數據遭洩露
發現後,該公司撤銷了與 Gainsight 發布的應用程序相關的所有主動訪問和刷新令牌,並暫時將其從 AppExchange 中刪除。受影響的客戶已收到直接通知。此外,需要進一步幫助的人可以聯繫 Salesforce 幫助團隊。
早期大規模 OAuth 攻擊的鏈接
雖然 Salesforce 尚未披露此次洩露的全部範圍,但這次攻擊與 8 月份備受矚目的 Salesloft 洩露事件非常相似,當時 ShinyHunters 組織使用竊取的 OAuth 令牌來訪問數百個 Salesforce 實例。
該組織現在聲稱,它通過 Gainsight 訪問了另外 285 個 Salesforce 環境,這次是通過濫用據稱在 Salesloft 洩露期間獲得的機密和 OAuth 令牌,利用它們來破壞 Gainsight 集成。
Gainsight 的回應和正在進行的調查
增益視野有承認在其狀態更新頁面上,它正在與 Salesforce 合作,並已啟動自己的內部調查。該公司後來證實,已聘請安全公司 Mandiant 協助其進行全面、獨立的取證調查。然而,它尚未提供有關受影響客戶數量或被盜數據性質的詳細信息。
Gainsight 也是在早期與 Salesloft 相關的攻擊中受到損害的公司之一,攻擊者在此期間訪問了業務聯繫信息、許可詳細信息和支持案例內容。
下一步是什麼
Salesforce 表示正在繼續調查並將直接與受影響的客戶分享最新信息。 Gainsight 堅稱其自身審查正在進行中,尚未披露此次入侵的全部範圍。
與此同時,安全專家敦促 Salesforce 客戶立即:
- 審核所有連接的第三方應用程序
- 審查並撤銷不必要或高風險的 OAuth 集成
- 對第三方應用程序權限啟用更嚴格的訪問控制
- 監控與外部連接相關的可疑活動
隨著攻擊者越來越多地將目標瞄準第三方 SaaS 集成而不是核心平台,這一最新的漏洞凸顯了保護複雜雲生態系統的挑戰 - 即使是一個受損的應用程序也可能成為大規模數據洩露的切入點。
