GitHub как точка входа. Один забытый токен Salesloft открыл хакерам двери к данным сотен корпораций

leer en español

ShinyHunters Salesforce Gainsight Salesloft Drift HubSpot утечка данных
GitHub как точка входа. Один забытый токен Salesloft открыл хакерам двери к данным сотен корпораций
ShinyHunters Salesforce Gainsight Salesloft Drift HubSpot утечка данных

Цепная реакция компрометации зашла слишком далеко, заставив гигантов сжигать мосты.

image

Обострившаяся история вокруг утечки данных из экосистемы Salesforce получила новое развитие после того, как группа ShinyHunters заявила о своём участии в инциденте. События тянутся уже несколько месяцев и затронули сразу несколько сервисов, связанных с CRM-платформами, а масштабы последствий продолжают расти.

По утверждению представителей ShinyHunters, доступ к Gainsight они получили ещё несколько месяцев назад, используя возможности, появившиеся после взлома интеграции Salesloft Drift. Тогда неизвестные проникли в GitHub-учётную запись Salesloft и извлекли оттуда OAuth-токены, применявшиеся в работе стороннего сервиса Drift с Salesforce. Эти токены позволили незаметно обращаться к данным большого числа корпоративных клиентов.

Сообщается, что в ходе той же кампании злоумышленники проникли и в среду Gainsight. Этот сервис работает как платформа управления клиентскими процессами и связан с Salesforce, HubSpot и поддерживающими системами вроде Zendesk. Инцидент заставил компанию привлечь специалистов Google Mandiant, чтобы разобраться в характере активности и источнике проблемы. Gainsight утверждает, что нежелательные действия шли через внешние соединения приложений, а не из-за ошибки в самой платформе Salesforce.

Salesforce в ответ аннулировала все активные ключи доступа для приложений Gainsight и временно убрала их из каталога AppExchange. Похожие меры приняли Zendesk и HubSpot, ограничив работу соответствующих коннекторов до завершения внутренней проверки. Представители Salesforce воздерживаются от подробных комментариев, но отмечают, что меры приняты незамедлительно.

По оценке команды Google Threat Intelligence Group, атака связана с группировкой UNC6240, известной под именем ShinyHunters. Компания фиксирует свыше двух сотен затронутых экземпляров Salesforce. Источником компрометации считаются украденные OAuth-токены, которые давали злоумышленникам доступ к сторонним сервисам и их интеграциям.

Участники ShinyHunters утверждают, что проверяли степень мониторинга в системах Gainsight и что деятельность была замечена примерно через одну-две недели после начала вторжений. В группировке также упоминают о поиске сообщников внутри крупных компаний. Salesforce ранее заявляла, что не намерена идти на требования вымогателей и не будет вести переговоры.