کمیته رکن چهارم– شرکت Salesforce هشدار داده که فعالیت غیرعادی مرتبط با اپلیکیشنهای Gainsight، منجر به دسترسی غیرمجاز به دادههای برخی از مشتریان این پلتفرم شده است. این مسئله از طریق ارتباط OAuth میان این اپلیکیشنها و Salesforce صورت گرفته است.
به گزارش کمیته رکن چهارم، Salesforce ضمن اعلام این حادثه، تمامی توکنهای دسترسی و نوسازی فعال مربوط به اپلیکیشنهای Gainsight را باطل و این اپها را بهصورت موقت از فروشگاه AppExchange حذف کرده است. در عین حال، شرکت Gainsight نیز اعلام کرده اپلیکیشن خود را از بازار HubSpot بهطور احتیاطی حذف کرده و در حال بررسی وضعیت امنیتی ارتباطات OAuth است.
شرکت Salesforce تأکید کرده که این حادثه ناشی از نقصی در زیرساخت این شرکت نبوده و منشأ آن به اتصال خارجی اپلیکیشنها بازمیگردد. در همین حال، Gainsight نیز اعلام کرده نشانهای از فعالیت مشکوک در HubSpot مشاهده نشده است.
تحلیلگران امنیتی معتقدند این حادثه ممکن است بخشی از یک کمپین گستردهتر باشد که به گروه ShinyHunters نسبت داده میشود. طبق گزارشها، این گروه پیشتر نیز حملاتی مشابه علیه پلتفرمهای یکپارچهسازی از جمله Salesloft و Drift انجام داده و ادعا کردهاند اطلاعات حدود هزار سازمان را سرقت کردهاند.
در نمونه حملات قبلی، دادههایی مانند نام، ایمیل کاری، شماره تلفن، اطلاعات منطقهای و مجوزهای محصول بهدست مهاجمان افتاده بود. متخصصان هشدار دادهاند که هدفگیری توکنهای OAuth متعلق به یکپارچهسازیهای معتبر SaaS، به روندی رو به افزایش تبدیل شده است.
در پی این اتفاق، به سازمانها توصیه میشود اپلیکیشنهای متصل به Salesforce را بررسی کرده، توکنهای غیرضروری را باطل کرده و در صورت مشاهده فعالیت مشکوک، اعتبارنامهها را تغییر دهند. این اقدامات میتواند از تکرار چنین رخدادهایی جلوگیری کند.
