La compañía revocó tokens de acceso, retiró apps del AppExchange y alertó a clientes afectados, mientras el grupo Scattered Lapsus$ Hunters reivindica el ataque y asegura haber comprometido cientos de instancias adicionales.
Salesforce comenzó una nueva investigación interna luego de detectar actividad irregular en aplicaciones publicadas por Gainsight y conectadas a su plataforma. Según comunicó la empresa, el hallazgo llevó a la revocación inmediata de todos los tokens activos y de actualización asociados a estas integraciones, así como a la remoción temporal de dichas aplicaciones del AppExchange. La empresa insistió en que “no hay indicios de que esto derive de una vulnerabilidad en Salesforce”, afirmando que el comportamiento observado se vincula exclusivamente “a la conexión externa del app hacia Salesforce”.
Gainsight, proveedor de herramientas de soporte y gestión de clientes, confirmó que identificó fallas de conexión debido al bloqueo aplicado por Salesforce al conector Gainsight SFDC. En paralelo, deshabilitó preventivamente integraciones con HubSpot y Zendesk. Además, señaló que trabaja junto a Mandiant -unidad propiedad de Google Cloud- para llevar adelante el análisis forense del incidente.
La situación recuerda al ataque ocurrido en agosto de este año, cuando un grupo de extorsión vinculado a ShinyHunters y Scattered Spider comprometió integraciones de Salesloft para robar información sensible de múltiples organizaciones. En esa ocasión, los atacantes utilizaron tokens OAuth robados para acceder a datos almacenados en instancias de Salesforce. El propio grupo afirmó en aquel entonces haber obtenido 1,5 mil millones de registros pertenecientes a unas 760 compañías, entre ellas Google, Cloudflare, Elastic, Proofpoint, Zscaler, Palo Alto Networks y otras firmas de alto perfil.
Ahora, en una serie de mensajes enviados a medios especializados como BleepingComputer y DataBreaches.net, los responsables que se identifican como parte de Scattered Lapsus$ Hunters aseguraron que también están detrás del ataque contra Gainsight, y declararon haber comprometido otras 285 instancias de Salesforce mediante secretos y accesos heredados del incidente de Salesloft Drift. “Solo grandes compañías, principalmente Fortune 500, serán listadas”, dijeron, mencionando entre los afectados a Verizon, GitLab, F5 y SonicWall.
Los atacantes afirmaron además que planean publicar un nuevo sitio de filtraciones si Salesforce no accede a sus exigencias. Este repositorio contendría información obtenida tanto en la campaña contra Salesloft como en la ofensiva reciente que involucra a Gainsight. De acuerdo con sus declaraciones, la campaña completa abarcaría datos de “casi mil compañías”. También anunciaron el lanzamiento de un servicio de ransomware-as-a-service para este lunes 24 de noviembre.
Desde Salesforce señalaron que los clientes afectados fueron contactados de manera directa y se les instó a comunicarse con el equipo de soporte para recibir asistencia adicional.