Medida drástica: Salesforce retira a Gainsight de AppExchange para proteger los datos
La reacción en cadena de escándalos se fue demasiado lejos y obligó a los gigantes a quemar puentes.
El caso intensificado en torno a la filtración de datos del ecosistema de Salesforce recibió un nuevo desarrollo después de que el grupo ShinyHunters declarara su participación en el incidente. Los hechos se extienden ya por varios meses y han afectado a varios servicios vinculados con plataformas CRM, y la magnitud de las consecuencias continúa creciendo.
Según representantes de ShinyHunters, obtuvieron acceso a Gainsight hace ya varios meses, aprovechando capacidades surgidas tras el hackeo de la integración entre Salesloft y Drift. Entonces desconocidos accedieron a la cuenta de GitHub de Salesloft y extrajeron de allí tokens OAuth que se usaban en la operación del servicio externo Drift con Salesforce. Esos tokens permitieron acceder sin ser detectados a los datos de un gran número de clientes corporativos.
Se informa que en el transcurso de la misma campaña los atacantes también penetraron en el entorno de Gainsight. Este servicio funciona como plataforma de gestión de procesos con clientes y está vinculado con Salesforce, HubSpot y sistemas de soporte como Zendesk. El incidente obligó a la compañía a contratar a especialistas de Google Mandiant para aclarar la naturaleza de la actividad y la fuente del problema. Gainsight afirma que las acciones no deseadas se produjeron a través de conexiones externas de aplicaciones, y no por un error en la propia plataforma Salesforce.
Salesforce, en respuesta, anuló todas las claves de acceso activas para las aplicaciones de Gainsight y las retiró temporalmente de su catálogo AppExchange. Medidas similares adoptaron Zendesk y HubSpot, limitando el funcionamiento de los conectores correspondientes hasta la finalización de la revisión interna. Los representantes de Salesforce evitan comentarios detallados, pero señalan que las medidas se tomaron de inmediato.
Según la evaluación del equipo Google Threat Intelligence Group, el ataque está relacionado con el grupo UNC6240, conocido como ShinyHunters. La empresa registra más de doscientas instancias de Salesforce afectadas. Como origen de la brecha se consideran tokens OAuth robados, que dieron a los atacantes acceso a servicios de terceros y sus integraciones.
Los miembros de ShinyHunters afirman que verificaron el grado de monitoreo en los sistemas de Gainsight y que la actividad fue detectada aproximadamente una o dos semanas después del inicio de las intrusiones. El grupo también menciona la búsqueda de cómplices dentro de grandes empresas. Salesforce declaró previamente que no tiene intención de ceder a las exigencias de los extorsionadores y que no negociará.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla