Salesforce ha advertido sobre la detección de «actividad inusual» relacionada con las aplicaciones publicadas por Gainsight conectadas a la plataforma.
«Nuestra investigación indica que esta actividad puede haber permitido el acceso no autorizado a los datos de Salesforce de ciertos clientes a través de la conexión de la aplicación», dijo la compañía en un aviso.
La firma de servicios en la nube dijo que ha tomado la medida de revocar todos los tokens de acceso activo y actualización asociados con las aplicaciones publicadas por Gainsight conectadas a Salesforce. También eliminó temporalmente esas aplicaciones de AppExchange mientras continúa su investigación.
Salesforce no reveló cuántos clientes se vieron afectados por el incidente, pero dijo que les notificó.
«No hay indicios de que este problema se deba a alguna vulnerabilidad en la plataforma Salesforce», añadió la compañía. «La actividad parece estar relacionada con la conexión externa de la aplicación a Salesforce».
Por precaución, la aplicación Gainsight se retiró temporalmente de HubSpot Marketplace. «Esto también puede afectar el acceso de Oauth para las conexiones de los clientes mientras se lleva a cabo la revisión», dijo Gainsight. «Hasta el momento no se ha observado ninguna actividad sospechosa relacionada con Hubspot».
En una publicación compartida en LinkedIn, Austin Larsen, analista principal de amenazas de Google Threat Intelligence Group (GTIG), la describió como una «campaña emergente» dirigida a aplicaciones publicadas por Gainsight conectadas a Salesforce.
Se considera que la actividad está vinculada a actores de amenazas asociados con el grupo ShinyHunters (también conocido como UNC6240), lo que refleja un conjunto similar de ataques dirigidos a instancias de Salesloft Drift a principios de agosto.
Según DataBreaches.Net, ShinyHunters confirmó que la campaña es obra suya y afirmó que las oleadas de ataques de Salesloft y Gainsight les permitieron robar datos de casi 1000 organizaciones.
Curiosamente, Gainsight dijo anteriormente que también era uno de los clientes de Salesloft Drift afectados por el ataque anterior. Pero no está claro en este momento si la infracción anterior jugó un papel en el incidente actual.
En ese hack, los atacantes accedieron a detalles de contacto comercial para contenido relacionado con Salesforce, incluidos nombres, direcciones de correo electrónico comerciales, números de teléfono, detalles regionales/ubicación, información de licencia de productos y contenidos de casos de soporte (sin archivos adjuntos).
«Los adversarios apuntan cada vez más a los tokens OAuth de integraciones SaaS de terceros confiables», señaló Larsen.
A la luz de la actividad maliciosa, se recomienda a las organizaciones que revisen todas las aplicaciones de terceros conectadas a Salesforce, revoquen tokens para aplicaciones sospechosas o no utilizadas y roten las credenciales si se detectan anomalías en una integración.