Salesforce acaba de confirmar que está investigando «actividad inusual» que podría haber expuesto datos de algunos clientes. Todo apunta a aplicaciones publicadas por Gainsight, una plataforma de soporte al cliente que se integra con Salesforce.
Un problema de integraciones, no de la plataforma
El jueves 21 de noviembre, Salesforce publicó un breve comunicado en su portal de estado explicando la situación.
Básicamente, estas aplicaciones de Gainsight (que los clientes instalan y gestionan por su cuenta) «podrían haber permitido acceso no autorizado a ciertos datos de clientes de Salesforce».
Salesforce fue clara en un punto: la plataforma en sí no tiene vulnerabilidades. El problema viene del lado de la conexión externa de la app con sus servicios.
Aun así, la compañía tomó medidas inmediatas y revocó temporalmente todos los tokens de acceso activos a las aplicaciones de Gainsight.
Más de 200 empresas afectadas
Esto no es un caso aislado. Google confirmó que tiene conocimiento de más de 200 instancias de Salesforce potencialmente comprometidas.
Austin Larsen, analista principal del Grupo de Inteligencia de Amenazas de Google, señaló que se trata de una «campaña emergente» dirigida específicamente a estas integraciones de terceros.
Los expertos vinculan este ataque con el grupo de ciberdelincuentes ShinyHunters (también conocido como UNC6240). Este mismo grupo ya había atacado en agosto pasado a clientes de Salesloft Drift usando tácticas similares.
Irónicamente, Gainsight fue una de las víctimas de aquel ataque anterior… y ahora los hackers usaron ese acceso previo para comprometer completamente su sistema.
Los hackers amenazan con filtrar datos
El grupo Scattered Lapsus$ Hunters (que incluye a ShinyHunters) se adjudicó la responsabilidad del ataque a través de un canal de Telegram. Según ellos, entre las campañas de Salesloft y Gainsight lograron robar información de casi 1,000 organizaciones.
Las amenazas no terminan ahí. Los hackers advirtieron que, si Salesforce no negocia, lanzarán un sitio web dedicado a filtrar los datos robados de ambas campañas. Ya lo hicieron antes en octubre con las víctimas del incidente de Salesloft.
Entre las empresas que mencionaron como afectadas están nombres pesados como Atlassian, CrowdStrike, Docusign, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters y Verizon.
Aunque hay que tomarlo con cautela: CrowdStrike ya negó estar afectado y dijo que todos los datos de sus clientes están seguros.
Una nueva superficie de ataque
Jaime Blasco, cofundador de Nudge Security, lo resumió perfecto en LinkedIn: «Los atacantes ya no necesitan vulnerar la plataforma principal cuando pueden comprometer una integración con acceso privilegiado». Y agregó: «Esta es la nueva superficie de ataque».
No es la primera vez que pasa. El mes pasado, Google reportó que la explotación de una debilidad en Oracle E-Business Suite había afectado probablemente a más de 100 compañías.
En junio, también descubrieron que hackers habían engañado a empleados de clientes de Salesforce para instalar una versión modificada del Data Loader (una herramienta propietaria para importar archivos masivamente) y así comprometer sus datos.
Fuente: TechCrunch
