Salesforce afbryder adgang til Gainsight-app

Salesforce har onsdag aften advaret sine kunder om en potentiel datalækage efter at have opdaget “usædvanlig aktivitet” relateret til tredjepartsapplikationen Gainsight. Ifølge en meddelelse på Salesforce’ hjemmeside kan aktiviteten have muliggjort uautoriseret adgang til visse kunders Salesforce-data via appens integration.

Det skriver The Record.

Gainsight er en platform, der hjælper virksomheder med at analysere salgsdata og kundeinformation. Salesforce oplyser, at de straks efter opdagelsen tilbagekaldte alle aktive adgangs- og refresh-tokens for Gainsight-applikationer og midlertidigt fjernede dem fra AppExchange, mens undersøgelsen fortsætter.

Virksomheden understreger, at der ikke er tegn på en sårbarhed i Salesforce-platformen. Problemet ser ud til at være knyttet til appens eksterne forbindelse til Salesforce. Berørte kunder er blevet kontaktet direkte.

På Gainsights status-side fremgår det, at virksomheden samarbejder med Salesforce om undersøgelsen. Som en ekstra forsigtighedsregel er appen også fjernet fra Hubspot, selvom der ikke er observeret mistænkelig aktivitet der.

Hackergruppe tager ansvar

Torsdag aften hævdede en kendt cyberkriminel gruppe over for BleepingComputer, at de stod bag angrebet mod Gainsight og havde stjålet data fra 284 organisationer. Gruppen, der angiveligt er tilknyttet Scattered Spider og ShinyHunter, har tidligere stået bag omfattende angreb mod forsikrings-, detail- og luftfartsindustrien.

Ifølge gruppen mistede de adgangen til Gainsight samme dag, men nåede at hente en vis mængde data. Efterfølgende forsøgte de at afpresse 39 af de berørte virksomheder, men FBI skal have lukket deres afpresningssite, og flere medlemmer er blevet anholdt i USA og Storbritannien.

Hændelsen understreger den stigende risiko ved tredjepartsintegrationer i cloud-miljøer. Selv når kerneplatformen er sikker, kan eksterne forbindelser være svage led, der åbner døren for kompromittering af følsomme data.