События тянутся уже несколько месяцев и затронули сразу несколько сервисов, связанных с CRM-платформами, а масштабы последствий продолжают расти.
По утверждению представителей ShinyHunters, доступ к Gainsight они получили ещё несколько месяцев назад, используя возможности, появившиеся после взлома интеграции Salesloft Drift. Тогда неизвестные проникли в GitHub-учётную запись Salesloft и извлекли оттуда OAuth-токены, применявшиеся в работе стороннего сервиса Drift с Salesforce. Эти токены позволили незаметно обращаться к данным большого числа корпоративных клиентов, пишет Securitylab.
Сообщается, что в ходе той же кампании злоумышленники проникли и в среду Gainsight. Этот сервис работает как платформа управления клиентскими процессами и связан с Salesforce, HubSpot и поддерживающими системами вроде Zendesk. Инцидент заставил компанию привлечь специалистов Google Mandiant, чтобы разобраться в характере активности и источнике проблемы. Gainsight утверждает, что нежелательные действия шли через внешние соединения приложений, а не из-за ошибки в самой платформе Salesforce.
Salesforce в ответ обнулила все ключи доступа для приложений Gainsight и временно убрала их из каталога AppExchange. Похожие меры приняли Zendesk и HubSpot, ограничив работу соответствующих коннекторов до завершения внутренней проверки. Представители Salesforce воздерживаются от подробных комментариев, но отмечают, что меры приняты незамедлительно.
Участники ShinyHunters утверждают, что проверяли степень мониторинга в системах Gainsight и что деятельность была замечена примерно через одну-две недели после начала вторжений. В группировке также упоминают о поиске сообщников внутри крупных компаний. Salesforce ранее заявляла, что не намерена идти на требования вымогателей и не будет вести переговоры.