Hogyan történt a betörés?
A történet idén márciusban indult, amikor a támadók hozzáférést szereztek egy Salesloft GitHub-fiókhoz. Ezen keresztül bejutottak a Drift nevű, értékesítési automatizációs szoftverbe, amely szorosan a Salesforce-szal integrálódik. A támadók kompromittálták az OAuth-biztonsági tokeneket, ezek segítségével pedig csendben, észrevétlenül loptak el rengeteg Salesforce-ügyféladatot.
A ShinyHunters állítása szerint ekkor szerezték meg a Gainsight-hozzáféréseket is. A Gainsight egy ügyfélkapcsolat-kezelő platform, amely a Salesforce-on kívül több CRM-rendszert, például a HubSpotot, és ügyfélszolgálati szoftvereket, például a Zendesket is integrálja.
Láncreakció a céges ökoszisztémában
A Gainsight a támadás után azonnal bevetette a Google Mandiant incidenskezelő csapatát, és megkezdte a belső vizsgálatot. Jelezték, hogy a gyanús tevékenység külső, integrált kapcsolatokból indult, nem a Salesforce rendszeréből. A Salesforce minden Gainsight-apphoz tartozó hozzáférést visszavont, és ideiglenesen eltávolította ezeket az alkalmazásokat az AppExchange-ből. A Zendesk is így tett, a HubSpot pedig óvatosságból levette a Gainsight-appokat a saját piacteréről, ami átmenetileg az ügyfelek hozzáférésében is gondokat okozhat.
A ShinyHunters bosszúja és a további fenyegetések
A támadók azt állítják, hogy a Gainsight feltörése egyfajta teszt volt: fel akarták mérni, mennyire erős a figyelem a rendszer körül. Véleményük szerint a Salesforce túl sokra tartja magát, és ideje lenne, ha kifizetnék a hibák kijavítását. A Google biztonsági szakértője, Austin Larsen szerint a támadás legalább 200 Salesforce-instanciát érinthet. Bár a betörés pontos részletei homályban maradnak, annyi biztos: a ShinyHunters visszatért, és ismét bennfenteseket próbál toborozni jelentős cégeknél. A Salesforce kitart amellett, hogy nem hajlandó tárgyalni, illetve zsarolási pénzt fizetni a támadók követeléseinek.
