Salesforce上周四(11/20)警告,已偵測到由Gainsight發布、且與Salesforce連接的應用程式出現異常活動。相關應用程式由客戶自行安裝與管理,Salesforce調查指出,攻擊者可能藉由應用與Salesforce的連線未經授權地存取部分客戶資料。Google威脅情報小組(Google Threat Intelligence Group,GTIG)首席威脅分析師Austin Larsen向TechCrunch及The Register表示,可能有超過200家Salesforce客戶受到波及。
類似的供應鏈式攻擊在3個月前也曾發生,當時受影響的第三方應用為Salesloft Drift。駭客利用遭竊的Drift OAuth憑證進入客戶的Salesforce環境,並大量匯出用戶資料。
成立於2009年的Gainsight是一家提供客戶成功管理與客戶體驗的軟體公司,其核心產品可整合Salesforce等CRM系統,協助企業追蹤客戶健康度、減少流失及提升續約率等。該公司指出,根據現有的證據,唯一有影響是Gainsight CS(Customer Success)至Salesforce的連線。
為了保險起見,Salesforce關閉了Gainsight CS、Gainsight Community、Northpass(Gainsight CE)及Skilljar(Gainsight SJ)與Salesforce之間的讀寫功能。儘管目前僅確認攻擊者利用的是Gainsight CS與Salesforce的連線,但另外兩家業者Zendesk與HubSpot也基於預防性考量,暫時停用了連到Gainsight的連接器。
Salesforce表示,該公司是在11月20日關閉了Gainsight所有應用程式與Salesforce之間的連線,並無跡象顯示是由Salesforce平臺的漏洞所引起,而似乎是與相關應用程式外部連線至Salesforce方式有關。
Larsen則說,這起行動與ShinyHunters駭客組織有關,駭客入侵第三方的OAuth權杖,未經授權地存取Salesforce客戶實例。Salesforce已採取行動撤銷受影響的權杖,並已將相關應用程式自AppExchange下架,Salesforce及Mandiant亦正主動通知可能受影響的組織。
熱門新聞
2026-01-06
2026-01-06
2026-01-06
2026-01-05
2026-01-02