Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Gainsight: кража токенов доступа обнажила риск для Salesforce

3 мин
Недавнее нарушение безопасности, связанное с приложением Gainsight, выявило уязвимость во взаимосвязанных облачных системах: злоумышленники использовали украденные токены доступа, выдаваемые приложением Gainsight для интеграции со средой Salesforce, что позволило им получить несанкционированный доступ к данным клиентов. Salesforce заметила необычную активность и выпустила предупреждения после того, как Google Threat Analysis Group оценила, что атака могла затронуть более 200 экземпляров Salesforce. Важный нюанс: злоумышленники не проникали напрямую в платформу Salesforce, а манипулировали промежуточным соединением между Gainsight и Salesforce с помощью украденных токенов доступа. Полученные токены предоставляли злоумышленникам те же права, что и само приложение Gainsight: возможность считывать и обновлять данные в организациях-клиентах. По оценкам экспертов, злоумышленники использовали токены для манипуляции и копирования данных внутри учетных записей клиентов Salesforce, не ломая «ядр
Оглавление

Недавнее нарушение безопасности, связанное с приложением Gainsight, выявило уязвимость во взаимосвязанных облачных системах: злоумышленники использовали украденные токены доступа, выдаваемые приложением Gainsight для интеграции со средой Salesforce, что позволило им получить несанкционированный доступ к данным клиентов.

Краткое содержание инцидента

Salesforce заметила необычную активность и выпустила предупреждения после того, как Google Threat Analysis Group оценила, что атака могла затронуть более 200 экземпляров Salesforce. Важный нюанс: злоумышленники не проникали напрямую в платформу Salesforce, а манипулировали промежуточным соединением между Gainsight и Salesforce с помощью украденных токенов доступа.

Механика атаки

Полученные токены предоставляли злоумышленникам те же права, что и само приложение Gainsight: возможность считывать и обновлять данные в организациях-клиентах. По оценкам экспертов, злоумышленники использовали токены для манипуляции и копирования данных внутри учетных записей клиентов Salesforce, не ломая «ядро» платформы.

Кто стоит за атакой

Группа, идентифицированная как Scattered LAPSUS$ Hunters, демонстрирует гибридные тактики, заимствующие элементы у таких групп, как ShinyHunters и Scattered Spider. В своей деятельности они уделяют приоритетное внимание использованию облачных систем идентификации и социальной инженерии, а не традиционному распространению malware. Злоумышленники также склонны к вовлечению публики — они используют платформы вроде Telegram, чтобы публично дразнить жертв и добиваться доступа к инсайдерской информации.

Контекст и сходство с предыдущими инцидентами

Нарушение отражает более ранний инцидент с drift of Salesloft, подчеркивая системную проблему: одно скомпрометированное звено в экосистеме SaaS может привести к массовому раскрытию данных клиентов, если связанные токены имеют широкие разрешения.

Потенциальный ущерб и риски

  • Копирование и несанкционированное изменение данных в учетных записях клиентов Salesforce.
  • Множественные компании пострадали из‑за единой точки доступа — широкие разрешения токенов расширяют площадь атаки.
  • Повышенный риск публичного давления и получения дополнительной информации через социальные платформы, что усиливает возможности злоумышленников.

Рекомендации для команд безопасности

В свете инцидента специалистам по безопасности рекомендуется немедленно принять меры с целью сдерживания и уменьшения ущерба:

  • Проявлять повышенную бдительность по отношению к действиям подключенных приложений и интеграций.
  • Мониторить потенциальные признаки компрометации — IOCs, включая злоупотребление токенами и несанкционированные вызовы API.
  • Проводить регулярный анализ и управление разрешениями приложений: минимизировать права, предоставляемые сторонним приложениям.
  • Регулярная ротация токенов доступа и отозвание скомпрометированных токенов.
  • Оценивать и усиливать процессы управления идентификацией в облаке, а также обучение сотрудников против социальной инженерии.
«Компании рекомендуется проявлять бдительность в отношении действий подключенных приложений, быть в курсе потенциальных признаков компрометации (IOCs), включая злоупотребление токенами и несанкционированные вызовы API.» — руководство Salesforce

Вывод

Инцидент с Gainsight служит наглядным напоминанием: даже если основная платформа остается неповрежденной, компрометация промежуточных интеграций может привести к масштабным утечкам и манипуляциям данными. Для клиентов SaaS-категории ключевые меры защиты — минимизация разрешений, мониторинг активности подключенных приложений и регулярная ротация токенов — остаются первоочередными средствами снижения риска в облачных экосистемах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Gainsight: кража токенов доступа обнажила риск для Salesforce".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.