أصدرت Salesforce تحذيراً بشأن نشاط غير اعتيادي تم رصده عبر تطبيقات تابعة لشركة Gainsight متصلة بمنصتها. وتشير التحقيقات الأولية إلى أن هذا النشاط قد يكون قد سمح بالوصول غير المصرح به إلى بيانات بعض العملاء عبر اتصال التطبيق.
وقد اتخذت Salesforce خطوات فورية، بما في ذلك إلغاء جميع رموز الوصول النشطة وتحديث الرموز المرتبطة بتطبيقات Gainsight. كما تمت إزالة هذه التطبيقات مؤقتاً من AppExchange.
تحذير Salesforce بشأن اختراق البيانات عبر تطبيقات Gainsight
أعلنت شركة Salesforce، الرائدة في مجال حلول الحوسبة السحابية، عن اكتشاف نشاط مشبوه يتعلق بتطبيقات نشرتها شركة Gainsight ومتصلة بمنصتها. وقد صدر هذا التحذير في سياق التهديدات المتزايدة ضد منصات SaaS، حيث يعد اختراق بيانات Salesforce مصدر قلق رئيسي.
وأوضحت Salesforce في بيان أن التحقيق يشير إلى أن هذا النشاط قد يكون قد أتاح وصولاً غير مصرح به إلى بيانات العملاء من خلال اتصال التطبيق بالمنصة. لم تحدد الشركة عدد العملاء المتأثرين، لكنها أكدت إبلاغهم بالواقعة.
من جانبها، أكدت Gainsight أن التطبيق تم سحبه مؤقتاً من HubSpot Marketplace، مما قد يؤثر على وصول OAuth لبعض العملاء. ومع ذلك، أشارت Gainsight إلى عدم رصد أي نشاط مشبوه متعلق بمنصة HubSpot حتى الآن.
الأسباب المحتملة والتداعيات
صرّحت Salesforce بوضوح أنه لا يوجد ما يشير إلى أن المشكلة ناجمة عن ثغرة في منصتها الخاصة، وأن النشاط يبدو مرتبطاً بالاتصال الخارجي للتطبيق. هذا يتماشى مع التوجه المتزايد للمهاجمين لاستهداف تطبيقات الطرف الثالث الموثوقة والمتصلة بالمنصات السحابية.
ويُعتقد أن النشاط مرتبط بمجموعة ShinyHunters (المعروفة أيضاً باسم UNC6240)، وهي مجموعة تهديد سيبراني استهدفت في السابق تطبيقات Salesloft Drift. وتفيد تقارير بأن هذه الهجمات قد سمحت بسرقة بيانات من حوالي 1000 مؤسسة.
وتشير المعلومات المتاحة إلى أن الهجوم على تطبيقات Salesloft و Drift في أغسطس الماضي استهدف تفاصيل الاتصال التجارية، بما في ذلك الأسماء، وعناوين البريد الإلكتروني، وأرقام الهواتف، ومعلومات الترخيص، وحالات الدعم.
إجراءات الحماية والتوصيات
يشير الخبراء، مثل أوستن لارسن من Google Threat Intelligence Group، إلى أن المهاجمين يستغلون بشكل متزايد رموز OAuth للتكاملات السحابية من طرف ثالث.
وفي ضوء هذا التطور، يُنصح العملاء بمراجعة جميع التطبيقات الخارجية المتصلة بـ Salesforce. كما يُوصى بإلغاء رموز الوصول للتطبيقات غير المستخدمة أو المشبوهة، وتحديث بيانات الاعتماد عند اكتشاف أي مؤشرات غير طبيعية في التكاملات.
وتأتي هذه الحادثة لتسلط الضوء على أهمية الأمن السيبراني بالنسبة للشركات التي تعتمد على تكاملات الطرف الثالث، وضرورة اليقظة المستمرة والتدابير الأمنية الاستباقية. وتتضمن هذه التدابير إجراء تقييمات دورية للمخاطر وتطبيق سياسات صارمة للوصول والمصادقة.