Одна CRM-платформа — тысяча взломанных компаний: Gainsight открыл хакерам ворота в империю Salesforce

CRM Gainsight Salesforce кибератаки
Одна CRM-платформа — тысяча взломанных компаний: Gainsight открыл хакерам ворота в империю Salesforce
CRM Gainsight Salesforce кибератаки

Архитектура доверия обернулась катастрофой.

image

Расследование инцидента с утечкой корпоративной информации, затронувшей клиентов Salesforce, продолжает расширяться. Компания выясняет, каким образом сторонние приложения Gainsight стали каналом, через который посторонние получили доступ к клиентским данным. Этот сервис применяют для работы с пользовательскими базами, и его модули подключаются к инфраструктуре Salesforce напрямую, что делает влияние каждого компонента заметным для всей системы.

В публичном уведомлении Salesforce подчёркивает, что потенциальный доступ связан именно с интеграциями Gainsight, которые заказчики устанавливают самостоятельно. При этом в самой платформе Salesforce признаков уязвимости не нашли. Судя по текущей оценке, источник проблемы кроется во внешних подключениях Gainsight, через которые сервис получает доступ к рабочим данным.

Gainsight, в свою очередь, сообщает о «сбоях подключения к Salesforce», но не упоминает о возможной утечке. Представители компании не ответили на запросы СМИ. Salesforce же направляет пользователей на специальный раздел с обновлениями, не комментируя ситуацию отдельно.

Инцидент привлёк внимание крупных компаний, использующих Gainsight в своей работе. Среди них Airtable, Notion, GitLab и другие известные сервисы. Представитель GitLab сообщил, что команда специалистов изучает возможные последствия и проверяет инфраструктуру на предмет нежелательных изменений.

На фоне происходящего вновь заявила о себе группа ShinyHunters, ответственная за ряд вымогательских атак. Участники сообщили порталу DataBreaches, что именно они атаковали интеграции Gainsight. По их словам, у них есть массив данных примерно тысячи организаций. Злоумышленники пригрозили опубликовать информацию на отдельном сайте, если Salesforce не вступит с ними в переговоры.

Текущая ситуация напоминает августовский инцидент, когда через уязвимость в Salesloft злоумышленники получили доступ к подключённым экземплярам Salesforce у множества клиентов. Тогда были похищены токены доступа и другие чувствительные данные. В числе пострадавших оказались Allianz Life, Bugcrowd, Cloudflare, Google, Kering, Proofpoint, Qantas, Stellantis, TransUnion, Workday и ряд других компаний.

За теми атаками стояло объединение Scattered Lapsus Hunters, в которое входят участники ShinyHunters. Месяц назад группа запустила собственную площадку для давления на пострадавшие организации, пригрозив опубликовать миллиард записей. Gainsight позже признал, что его сервисы действительно оказались в цепочке Salesloft-связанных взломов, но пока неясно, связано ли нынешнее вторжение с прежним эпизодом.

Проверки продолжаются, и компании, использующие продукты Gainsight и Salesforce, изучают свои системы на предмет скрытых следов доступа. Полной ясности по механизму компрометации пока нет: специалисты не исключают как повторное использование ранее похищенной информации, так и появление нового способа проникновения.